# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Шифровальщики  >  Trojan Ransom шифровальщик .dat вымогатель. Сбор информации, для создания Decryptor_а и скорейшего добавления трояна во все антивирусные базы!

## pranging

virustotal: https://www.virustotal.com/ru/file/4...is/1547137811/ 
Архив с !вирусом .dat шифровальщиком, для создания декриптора: ***

Список файлов Trojan Ransom шифровальщика  в архиве: 
Файл закриптованный в .dat вирусом: http://www.mediafire.com/file/0x5cxh...0.pdf.dat/file

Тот же файл оригинальный и не зашифрованный: http://www.mediafire.com/file/377ruf...1%82%D0%B0.pdf



В программе RedirectGen всплывает сообщение, о том, что вышла новая версия: 
, но на самом деле в архиве исполняемый файл называется не RedirectGen.exe, а Project1.exe и содержит вирус-шифровальщик.

Всего вирус прошёлся по 3800 папкам  и оставил там файл "DecryptFiles.txt"  с почтой "[email protected]" Дата шифрования файлов вирусом, примерно 3:40 09.01.2019 
Скрин работы Kaspersky RectorDecryptor(нашёл много файлов, которые не относятся к зашифрованным): 
*Что известно об этом вирусе*

Расширение: .dat
Email: [email protected]
Записка: DecryptFiles.txt
Содержание записки: 
[email protected]

P.S

Нашёл программу для дешифровки , но нужно вытащить ключ из этого трояна, который он использовал для шифровки в .dat и эта версия TeslaDecoder, не поддерживает .dat расшифровку.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## thyrex

> Нашёл программу для дешифровки


Дешифратор для TeslaCrypt тут ничем не поможет.

Расшифровки этой версии шифратора Help50 нет.

----------

*olejah*

----------


## pranging

> Дешифратор для TeslaCrypt тут ничем не поможет.
> 
> Расшифровки этой версии шифратора Help50 нет.


А если взломать этот троян через dnSpy   и переделать в расшифровщик?

- - - - -Добавлено - - - - -

Добавлю ещё немного инфы. Вирус начал работу в 3:37 09.01.2019, перестал шифровать в 4:45 09.01.2019 За это время он оставил 3800 файлов "DecryptFiles.txt" и прошёл столько же папок, всего закодировал ~71262 файла, используя ~3.3% от 100% процессора. Первый файл "DecryptFiles.txt", появился по пути C:\Users\ИмяПК\AppData\Local\VirtualStore далее C:\WMSDK\MTPPK12 и выше W по алфавиту, после,перейдя на внешний жёсткий диск, также поднялся снизу вверх по алфавиту. В итоге я выгрузил процесс "Project1.exe" (при запуске иконка на панели задач - не появлялась, только в диспетчере задач висел этот процесс) из диспетчера задач, видимо заметив закриптованные файлы на рабочем столе.

- - - - -Добавлено - - - - -

Сейчас только 3 антивируса на virustotal из 70(3 антвируса вообще не подгрузились)  детектят "Project.exe", а остальные 67 спят! Пару дней назад детектили толко Avast и AVG, сейчас и Eset подключился.

----------


## thyrex

А что даст его взлом? Там RSA-ключ длиной 2048 бит. Он в зашифрованном виде хранится в файле 0. Сумеете за приемлемое время разложить этот ключ на два простых числа и получить приватный ключ для расшифровки?  :Wink:

----------


## pranging

> А что даст его взлом? Там RSA-ключ длиной 2048 бит. Он в зашифрованном виде хранится в файле 0. Сумеете за приемлемое время разложить этот ключ на два простых числа и получить приватный ключ для расшифровки?


Знать бы, какое расширение к нему дописать. Ещё такой вопрос, перед откатом точки восстановления(после того, как вирус закончил шифровать, он не удалил теневые копии), я заходил  в ShadowExplorerPortable и там было видно, что в теневой копии есть все незакриптованные файлы, но решил их восстановить после отката. После перезагрузки и успешно восстановленной точки(за день до запуска вируса), зашёл в ShadowExplorerPortable и не обнаружил, не новых, не старых точек восстановления. Как найти через Hetman Partition Recovery, R-Studio, Stellar Phoenix Windows Data Recovery - Professional, Recuva (или посоветуйте какую прогу юзать),  удалённые точки и вернуть их обратно в папку System Volume Information? Ещё в windows.old (хранится отдельно на внешнем диске) есть System Volume Information и так все точки целые, как правильно перенести точки, чтобы восстановить нужные файлы через ShadowExplorer?

----------

