В сеть выложили ключи для криптовымогателя Dharma и уже появились инструменты для дешифровки.

Март, 09th 2017Рубрика: Безопасность. Вирусы 1058
Подписаться на комментарии по RSS

криптовымогатель Dharma

Весна началась с весьма интересного события, а именно 1 марта, на одном забугорном форуме BleepingComputer, некий пользователь под ником gektar, выложил ключи для всех версий шифровальщика Dharma (вот сама ссылка на мастер-ключи с форума http://pastebin.com/SKfGE5TM).

Похожая ситуация случилась год назад, когда в сеть утекли мастер-ключи от другого шифровальщика CrySiS. Честно говоря не совсем понятно откуда они берутся, тут можно только предполагать, что это такая своеобразная война среди авторов малвари, в случайную утечку тут слабо вериться.

В любом случае, кому-то это существенно облегчило жизнь и сэкономило нервы, время и деньги. Буквально через пару дней, специалистами компаний «Лаборатории Касперского» и ESET было установлено что ключи настоящие и уже сделаны бесплатные инструменты для расшифровки данных.

Честно говоря, очень надеялся, что один из инструментов подойдет и для моего случая, где у файлов расширение .[denied@india.com].wallet. К сожалению, мои надежды не оправдались (видимо у меня несколько иное семейство вымогателей). Приведу полный список расширений залоченных файлов, которые можно восстановить (взято с https://noransom.kaspersky.com):

Утилита RakhniDecryptor.zip расшифрует файлы, расширения которых изменились по следующим шаблонам:

Trojan-Ransom.Win32.Rakhni:

  • <имя_файла>.<оригинальное_расширение>.<locked>
  • <имя_файла>.<оригинальное_расширение>.<kraken>
  • <имя_файла>.<оригинальное_расширение>.<darkness>
  • <имя_файла>.<оригинальное_расширение>.<oshit>
  • <имя_файла>.<оригинальное_расширение>.<nochance>
  • <имя_файла>.<оригинальное_расширение>.<oplata@qq_com>
  • <имя_файла>.<оригинальное_расширение>.<relock@qq_com>
  • <имя_файла>.<оригинальное_расширение>.<crypto>
  • <имя_файла>.<оригинальное_расширение>.<helpdecrypt@ukr.net>
  • <имя_файла>.<оригинальное_расширение>.<pizda@qq_com>
  • <имя_файла>.<оригинальное_расширение>.<dyatel@qq_com>
  • <имя_файла>.<оригинальное_расширение>.<nalog@qq_com>
  • <имя_файла>.<оригинальное_расширение>.<chifrator@gmail_com>
  • <имя_файла>.<оригинальное_расширение>.<gruzin@qq_com>
  • <имя_файла>.<оригинальное_расширение>.<troyancoder@gmail_com>
  • <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id373>
  • <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id371>
  • <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id372>
  • <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id374>
  • <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id375>
  • <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id376>
  • <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id392>
  • <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id357>
  • <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id356>
  • <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id358>
  • <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id359>
  • <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id360>
  • <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id20>

Trojan-Ransom.Win32.Mor:

  • <имя_файла>.<оригинальное_расширение>_crypt

Trojan-Ransom.Win32.Autoit:

  • <имя_файла>.<оригинальное_расширение>.<_crypt@india.com_.буквы>

Trojan-Ransom.MSIL.Lortok:

  • <имя_файла>.<оригинальное_расширение>.<cry>
  • <имя_файла>.<оригинальное_расширение>.<AES256>

Trojan-Ransom.AndroidOS.Pletor:

  • <имя_файла>.<оригинальное_расширение>.<enc>

Trojan-Ransom.Win32.Agent.iih:

  • <имя_файла>.<оригинальное_расширение>+<hb15>

Trojan-Ransom.Win32.CryFile:

  • <имя_файла>.<оригинальное_расширение>.<encrypted>

Trojan-Ransom.Win32.Democry:

  • <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.777>
  • <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.legion>

Trojan-Ransom.Win32.Bitman версии 3:

  • <имя_файла>.<xxx>
  • <имя_файла>.<ttt>
  • <имя_файла>.<micro>
  • <имя_файла>.<mp3>

Trojan-Ransom.Win32.Bitman версии 4:

  • <имя_файла>.<оригинальное_расширение> (имя и расширение файла не меняется)

Trojan-Ransom.Win32.Libra:

  • <имя_файла>.<encrypted>
  • <имя_файла>.<locked>
  • <имя_файла>.<SecureCrypted>

Trojan-Ransom.MSIL.Lobzik:

  • <имя_файла>.<fun>
  • <имя_файла>.<gws>
  • <имя_файла>.<btc>
  • <имя_файла>.<AFD>
  • <имя_файла>.<porno>
  • <имя_файла>.<pornoransom>
  • <имя_файла>.<epic>
  • <имя_файла>.<encrypted>
  • <имя_файла>.<J>
  • <имя_файла>.<payransom>
  • <имя_файла>.<paybtcs>
  • <имя_файла>.<paymds>
  • <имя_файла>.<paymrss>
  • <имя_файла>.<paymrts>
  • <имя_файла>.<paymst>
  • <имя_файла>.<paymts>
  • <имя_файла>.<gefickt>
  • <имя_файла>.<uk-dealer@sigaint.org>

Trojan-Ransom.Win32.Mircop:

  • <Lock>.<имя_файла>.<оригинальное_расширение>

Trojan-Ransom.Win32.Crusis:

  • .ID<…>.<mail>@<server>.<domain>.xtbl
  • .ID<…>.<mail>@<server>.<domain>.CrySiS
  • .id-<…>.<mail>@<server>.<domain>.xtbl
  • .id-<…>.<mail>@<server>.<domain>.wallet
  • .id-<…>.<mail>@<server>.<domain>.dhrama
  • .<mail>@<server>.<domain>.wallet
  • .<mail>@<server>.<domain>.dhrama

Trojan-Ransom.Win32. Nemchig:

  • <имя_файла>.<оригинальное_расширение>.<safefiles32@mail.ru>

Trojan-Ransom.Win32.Lamer:

  • <имя_файла>.<оригинальное_расширение>.<bloked>
  • <имя_файла>.<оригинальное_расширение>.<cripaaaa>
  • <имя_файла>.<оригинальное_расширение>.<smit>
  • <имя_файла>.<оригинальное_расширение>.<fajlovnet>
  • <имя_файла>.<оригинальное_расширение>.<filesfucked>
  • <имя_файла>.<оригинальное_расширение>.<criptx>
  • <имя_файла>.<оригинальное_расширение>.<gopaymeb>
  • <имя_файла>.<оригинальное_расширение>.<cripted>
  • <имя_файла>.<оригинальное_расширение>.<bnmntftfmn>
  • <имя_файла>.<оригинальное_расширение>.<criptiks>
  • <имя_файла>.<оригинальное_расширение>.<cripttt>
  • <имя_файла>.<оригинальное_расширение>.<hithere>
  • <имя_файла>.<оригинальное_расширение>.<aga>

Trojan-Ransom.Win32.Cryptokluchen:

  • <имя_файла>.<оригинальное_расширение>.<AMBA>
  • <имя_файла>.<оригинальное_расширение>.<PLAGUE17>
  • <имя_файла>.<оригинальное_расширение>.<ktldll>

Trojan-Ransom.Win32.Rotor:

  • <имя_файла>.<оригинальное_расширение>.<.-.DIRECTORAT1C@GMAIL.COM.roto>
  • <имя_файла>.<оригинальное_расширение>.<.-.CRYPTSb@GMAIL.COM.roto>
  • <имя_файла>.<оригинальное_расширение>.<.-.DIRECTORAT1C8@GMAIL.COM.roto>
  • <имя_файла>.<оригинальное_расширение>.<!______________DESKRYPTEDN81@GMAIL.COM.crypt>
  • <имя_файла>.<оригинальное_расширение>.<!___prosschiff@gmail.com_.crypt>
  • <имя_файла>.<оригинальное_расширение>.<!_______GASWAGEN123@GMAIL.COM____.crypt>
  • <имя_файла>.<оригинальное_расширение>.<!_________pkigxdaq@bk.ru_______.crypt>
  • <имя_файла>.<оригинальное_расширение>.<!____moskali1993@mail.ru___.crypt>
  • <имя_файла>.<оригинальное_расширение>.<!==helpsend369@gmail.com==.crypt>
  • <имя_файла>.<оригинальное_расширение>.<!-==kronstar21@gmail.com=--.crypt>

Trojan-Ransom.Win32.Chimera:

  • <имя_файла>.<оригинальное_расширение>.<crypt>
  • <имя_файла>.<оригинальное_расширение>.<4 произвольных символа>

Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.

Без регистрации
ваш комментарий будет опубликован после проверки
Регистрация на сайте

На указанный адрес будет отправлено письмо с кодом активации. Вы можете настроить собственный профиль и стать активным участником или автором.