virustotal: https://www.virustotal.com/ru/file/4c382726168b13510e10254c57b7bb4b70ba71f03e23f2ff81 2435d2cb738bd1/analysis/1547137811/
http://images.vfl.ru/ii/1547142421/d4330c3e/24896989.png

Архив с !вирусом .dat шифровальщиком, для создания декриптора: ***

Список файлов Trojan Ransom шифровальщика в архиве:
http://images.vfl.ru/ii/1547142421/2443c956/24896988.png

Файл закриптованный в .dat вирусом: http://www.mediafire.com/file/0x5cxhktbxocsne/%25D0%2594%25D0%25BB%25D1%258F_%25D0%25BF%25D1%258 0%25D0%25BE%25D0%25B4%25D0%25B2%25D0%25B8%25D0%25B 6%25D0%25B5%25D0%25BD%25D0%25B8%25D1%258F_%25D1%25 81%25D0%25B2%25D0%25BE%25D0%25B5%25D0%25B3%25D0%25 BE_%25D0%25B0%25D0%25BA%25D0%25BA%25D0%25B0%25D1%2 583%25D0%25BD%25D1%2582%25D0%25B0.pdf.dat/file

Тот же файл оригинальный и не зашифрованный: http://www.mediafire.com/file/377rufvsccp7cll/%D0%94%D0%BB%D1%8F_%D0%BF%D1%80%D0%BE%D0%B4%D0%B2% D0%B8%D0%B6%D0%B5%D0%BD%D0%B8%D1%8F_%D1%81%D0%B2%D 0%BE%D0%B5%D0%B3%D0%BE_%D0%B0%D0%BA%D0%BA%D0%B0%D1 %83%D0%BD%D1%82%D0%B0.pdf



В программе RedirectGen всплывает сообщение, о том, что вышла новая версия:

http://images.vfl.ru/ii/1547142421/4859836c/24896987.png
, но на самом деле в архиве исполняемый файл называется не RedirectGen.exe, а Project1.exe и содержит вирус-шифровальщик.

Всего вирус прошёлся по 3800 папкам
http://images.vfl.ru/ii/1547142422/fce6153c/24896990.png и оставил там файл "DecryptFiles.txt"
http://images.vfl.ru/ii/1547142423/94265556/24896991.png
с почтой "[email protected]" Дата шифрования файлов вирусом, примерно 3:40 09.01.2019
http://images.vfl.ru/ii/1547142421/f221dddb/24896986.png

Скрин работы Kaspersky RectorDecryptor(нашёл много файлов, которые не относятся к зашифрованным):
http://images.vfl.ru/ii/1547142423/274c5280/24896993.png

Что известно об этом вирусе

Расширение: .dat
Email: [email protected]
Записка: DecryptFiles.txt
Содержание записки:
[email protected]

P.S

Нашёл программу для дешифровки
http://images.vfl.ru/ii/1547142420/ad88fe88/24896985.png, но нужно вытащить ключ из этого трояна, который он использовал для шифровки в .dat и эта версия TeslaDecoder, не поддерживает .dat расшифровку.

Нашёл программу для дешифровкиДешифратор для TeslaCrypt тут ничем не поможет.

Расшифровки этой версии шифратора Help50 нет.

Дешифратор для TeslaCrypt тут ничем не поможет.

Расшифровки этой версии шифратора Help50 нет.

А если взломать этот троян через dnSpy
http://images.vfl.ru/ii/1547419589/284820f2/24941791.png
и переделать в расшифровщик?

- - - - -Добавлено - - - - -

Добавлю ещё немного инфы. Вирус начал работу в 3:37 09.01.2019, перестал шифровать в 4:45 09.01.2019 За это время он оставил 3800 файлов "DecryptFiles.txt" и прошёл столько же папок, всего закодировал ~71262 файла, используя ~3.3% от 100% процессора. Первый файл "DecryptFiles.txt", появился по пути C:\Users\ИмяПК\AppData\Local\VirtualStore далее C:\WMSDK\MTPPK12 и выше W по алфавиту, после,перейдя на внешний жёсткий диск, также поднялся снизу вверх по алфавиту. В итоге я выгрузил процесс "Project1.exe" (при запуске иконка на панели задач - не появлялась, только в диспетчере задач висел этот процесс) из диспетчера задач, видимо заметив закриптованные файлы на рабочем столе.

- - - - -Добавлено - - - - -

Сейчас только 3 антивируса на virustotal из 70(3 антвируса вообще не подгрузились)
http://images.vfl.ru/ii/1547420464/6a4744d7/24941820.png детектят "Project.exe", а остальные 67 спят! Пару дней назад детектили толко Avast и AVG, сейчас и Eset подключился.

А что даст его взлом? Там RSA-ключ длиной 2048 бит. Он в зашифрованном виде хранится в файле 0. Сумеете за приемлемое время разложить этот ключ на два простых числа и получить приватный ключ для расшифровки? ;)

А что даст его взлом? Там RSA-ключ длиной 2048 бит. Он в зашифрованном виде хранится в файле 0. Сумеете за приемлемое время разложить этот ключ на два простых числа и получить приватный ключ для расшифровки? ;)

Знать бы, какое расширение к нему дописать. Ещё такой вопрос, перед откатом точки восстановления(после того, как вирус закончил шифровать, он не удалил теневые копии), я заходил в ShadowExplorerPortable и там было видно, что в теневой копии есть все незакриптованные файлы, но решил их восстановить после отката. После перезагрузки и успешно восстановленной точки(за день до запуска вируса), зашёл в ShadowExplorerPortable и не обнаружил, не новых, не старых точек восстановления. Как найти через Hetman Partition Recovery, R-Studio, Stellar Phoenix Windows Data Recovery - Professional, Recuva (или посоветуйте какую прогу юзать), удалённые точки и вернуть их обратно в папку System Volume Information? Ещё в windows.old (хранится отдельно на внешнем диске) есть System Volume Information и так все точки целые, как правильно перенести точки, чтобы восстановить нужные файлы через ShadowExplorer?