В сеть выложили ключи для криптовымогателя Dharma и уже появились инструменты для дешифровки.
Весна началась с весьма интересного события, а именно 1 марта, на одном забугорном форуме BleepingComputer, некий пользователь под ником gektar, выложил ключи для всех версий шифровальщика Dharma (вот сама ссылка на мастер-ключи с форума http://pastebin.com/SKfGE5TM).
Похожая ситуация случилась год назад, когда в сеть утекли мастер-ключи от другого шифровальщика CrySiS. Честно говоря не совсем понятно откуда они берутся, тут можно только предполагать, что это такая своеобразная война среди авторов малвари, в случайную утечку тут слабо вериться.
В любом случае, кому-то это существенно облегчило жизнь и сэкономило нервы, время и деньги. Буквально через пару дней, специалистами компаний «Лаборатории Касперского» и ESET было установлено что ключи настоящие и уже сделаны бесплатные инструменты для расшифровки данных.
Честно говоря, очень надеялся, что один из инструментов подойдет и для моего случая, где у файлов расширение .[denied@india.com].wallet. К сожалению, мои надежды не оправдались (видимо у меня несколько иное семейство вымогателей). Приведу полный список расширений залоченных файлов, которые можно восстановить (взято с https://noransom.kaspersky.com):
Утилита RakhniDecryptor.zip расшифрует файлы, расширения которых изменились по следующим шаблонам:
Trojan-Ransom.Win32.Rakhni:
- <имя_файла>.<оригинальное_расширение>.<locked>
- <имя_файла>.<оригинальное_расширение>.<kraken>
- <имя_файла>.<оригинальное_расширение>.<darkness>
- <имя_файла>.<оригинальное_расширение>.<oshit>
- <имя_файла>.<оригинальное_расширение>.<nochance>
- <имя_файла>.<оригинальное_расширение>.<oplata@qq_com>
- <имя_файла>.<оригинальное_расширение>.<relock@qq_com>
- <имя_файла>.<оригинальное_расширение>.<crypto>
- <имя_файла>.<оригинальное_расширение>.<helpdecrypt@ukr.net>
- <имя_файла>.<оригинальное_расширение>.<pizda@qq_com>
- <имя_файла>.<оригинальное_расширение>.<dyatel@qq_com>
- <имя_файла>.<оригинальное_расширение>.<nalog@qq_com>
- <имя_файла>.<оригинальное_расширение>.<chifrator@gmail_com>
- <имя_файла>.<оригинальное_расширение>.<gruzin@qq_com>
- <имя_файла>.<оригинальное_расширение>.<troyancoder@gmail_com>
- <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id373>
- <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id371>
- <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id372>
- <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id374>
- <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id375>
- <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id376>
- <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id392>
- <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id357>
- <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id356>
- <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id358>
- <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id359>
- <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id360>
- <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id20>
Trojan-Ransom.Win32.Mor:
- <имя_файла>.<оригинальное_расширение>_crypt
Trojan-Ransom.Win32.Autoit:
- <имя_файла>.<оригинальное_расширение>.<_crypt@india.com_.буквы>
Trojan-Ransom.MSIL.Lortok:
- <имя_файла>.<оригинальное_расширение>.<cry>
- <имя_файла>.<оригинальное_расширение>.<AES256>
Trojan-Ransom.AndroidOS.Pletor:
- <имя_файла>.<оригинальное_расширение>.<enc>
Trojan-Ransom.Win32.Agent.iih:
- <имя_файла>.<оригинальное_расширение>+<hb15>
Trojan-Ransom.Win32.CryFile:
- <имя_файла>.<оригинальное_расширение>.<encrypted>
Trojan-Ransom.Win32.Democry:
- <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.777>
- <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.legion>
Trojan-Ransom.Win32.Bitman версии 3:
- <имя_файла>.<xxx>
- <имя_файла>.<ttt>
- <имя_файла>.<micro>
- <имя_файла>.<mp3>
Trojan-Ransom.Win32.Bitman версии 4:
- <имя_файла>.<оригинальное_расширение> (имя и расширение файла не меняется)
Trojan-Ransom.Win32.Libra:
- <имя_файла>.<encrypted>
- <имя_файла>.<locked>
- <имя_файла>.<SecureCrypted>
Trojan-Ransom.MSIL.Lobzik:
- <имя_файла>.<fun>
- <имя_файла>.<gws>
- <имя_файла>.<btc>
- <имя_файла>.<AFD>
- <имя_файла>.<porno>
- <имя_файла>.<pornoransom>
- <имя_файла>.<epic>
- <имя_файла>.<encrypted>
- <имя_файла>.<J>
- <имя_файла>.<payransom>
- <имя_файла>.<paybtcs>
- <имя_файла>.<paymds>
- <имя_файла>.<paymrss>
- <имя_файла>.<paymrts>
- <имя_файла>.<paymst>
- <имя_файла>.<paymts>
- <имя_файла>.<gefickt>
- <имя_файла>.<uk-dealer@sigaint.org>
Trojan-Ransom.Win32.Mircop:
- <Lock>.<имя_файла>.<оригинальное_расширение>
Trojan-Ransom.Win32.Crusis:
- .ID<…>.<mail>@<server>.<domain>.xtbl
- .ID<…>.<mail>@<server>.<domain>.CrySiS
- .id-<…>.<mail>@<server>.<domain>.xtbl
- .id-<…>.<mail>@<server>.<domain>.wallet
- .id-<…>.<mail>@<server>.<domain>.dhrama
- .<mail>@<server>.<domain>.wallet
- .<mail>@<server>.<domain>.dhrama
Trojan-Ransom.Win32. Nemchig:
- <имя_файла>.<оригинальное_расширение>.<safefiles32@mail.ru>
Trojan-Ransom.Win32.Lamer:
- <имя_файла>.<оригинальное_расширение>.<bloked>
- <имя_файла>.<оригинальное_расширение>.<cripaaaa>
- <имя_файла>.<оригинальное_расширение>.<smit>
- <имя_файла>.<оригинальное_расширение>.<fajlovnet>
- <имя_файла>.<оригинальное_расширение>.<filesfucked>
- <имя_файла>.<оригинальное_расширение>.<criptx>
- <имя_файла>.<оригинальное_расширение>.<gopaymeb>
- <имя_файла>.<оригинальное_расширение>.<cripted>
- <имя_файла>.<оригинальное_расширение>.<bnmntftfmn>
- <имя_файла>.<оригинальное_расширение>.<criptiks>
- <имя_файла>.<оригинальное_расширение>.<cripttt>
- <имя_файла>.<оригинальное_расширение>.<hithere>
- <имя_файла>.<оригинальное_расширение>.<aga>
Trojan-Ransom.Win32.Cryptokluchen:
- <имя_файла>.<оригинальное_расширение>.<AMBA>
- <имя_файла>.<оригинальное_расширение>.<PLAGUE17>
- <имя_файла>.<оригинальное_расширение>.<ktldll>
Trojan-Ransom.Win32.Rotor:
- <имя_файла>.<оригинальное_расширение>.<.-.DIRECTORAT1C@GMAIL.COM.roto>
- <имя_файла>.<оригинальное_расширение>.<.-.CRYPTSb@GMAIL.COM.roto>
- <имя_файла>.<оригинальное_расширение>.<.-.DIRECTORAT1C8@GMAIL.COM.roto>
- <имя_файла>.<оригинальное_расширение>.<!______________DESKRYPTEDN81@GMAIL.COM.crypt>
- <имя_файла>.<оригинальное_расширение>.<!___prosschiff@gmail.com_.crypt>
- <имя_файла>.<оригинальное_расширение>.<!_______GASWAGEN123@GMAIL.COM____.crypt>
- <имя_файла>.<оригинальное_расширение>.<!_________pkigxdaq@bk.ru_______.crypt>
- <имя_файла>.<оригинальное_расширение>.<!____moskali1993@mail.ru___.crypt>
- <имя_файла>.<оригинальное_расширение>.<!==helpsend369@gmail.com==.crypt>
- <имя_файла>.<оригинальное_расширение>.<!-==kronstar21@gmail.com=--.crypt>
Trojan-Ransom.Win32.Chimera:
- <имя_файла>.<оригинальное_расширение>.<crypt>
- <имя_файла>.<оригинальное_расширение>.<4 произвольных символа>
Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.