Зашифрованы документы MS Office, pdf, jpg [Trojan-Ransom.Win32.Agent.ppa ]

Добрый вечер.

Прошу помощи в разборе ситуации, для расшифровки документов.

Получил письмо от "Екатерина Баулина <[email protected]>", с фишинговым содержимым, в котором открыл файл под именем "досудебная претензия.zip". Ничего не произошло с виду, ноутбук стал тормозить. Через 4 часа заметил, что файлы удалены и подменены зашифрованными копиями типа "имя файла.pdf.6081", в корне каждой папки появился файл "@Files_your_iD 10175.bMp" с требованием отправить 10000р через контакт с email [EMAIL="[email protected]"][email protected][/EMAIL] или @mail2tor.com. Требуют прикрепить ID 10175 + зашифрованный файл с цифрами на конце. 26.02 в 18:00 было 88 обращений на virustotal с этим файлом.

Kaspersky и DrWeb не идентифицировали файл с заразой. 27.02.15 Kaspersky обновился и определил файл как:
27.02.2015 8:31:23 Удалено троянская программа Trojan-Ransom.Win32.Agent.ieu C:\Users\Расуль\OneDrive\Документы\досудебная претензия.zip//Образец досудебной претензии о наличии задолженности.cmd Высокая

Плюс к этому были найдены:
26.02.2015 18:55:29 Удалено троянская программа Trojan-Downloader.Win32.Agent.gzck C:\Users\Расуль\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\search.cmd Высокая
26.02.2015 18:57:54 Удалено троянская программа Trojan-Downloader.Win32.Agent.gzck C:\Users\Расуль\Desktop\Photo.scr Высокая

Вновь добавленные в систему файлы не шифруются.

Уважаемый(ая) [B]fdobrotv[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/B92LqRQ.png[/img]

Прикрепил

Папка c:\tempory есть на диске С?

Имеется. C:\tempory
В ней 2 файла

SHapk - конфигурационный файл с расширениями файлов для поиска.

systenn.exe - Kaspersky Trojan-Ransom.Win32.Agent.ppa 20150228 / DrWeb Trojan.Encoder.895 20150228 (0315221D5429A8AB9078F2AC6EE5F2EA MD5)

[quote="fdobrotv;1237125"]systenn.exe[/quote]Пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы в архиве с паролем virus

Если файл удален, то нужен архив, полученный в письме

Прислал. Используя карантин по списку AVZ.

По предварительным данным (беглый анализ) расшифровка невозможна. Ключ шифрования приходит с одного из серверов злодеев

Благодарю. Алгоритм функции шифрования ясен? Могу ли я попробовать расшифровать файл в лоб, перебором ключа? Какая длина ключа может быть?

Готовой утилиты для перебора ключа под этот алгоритм не имеется?

Попробую декомпилировать systenn.exe и разобраться в методе генерации ключа с их стороны.

[quote="fdobrotv;1237198"]Готовой утилиты для перебора ключа под этот алгоритм не имеется?[/quote]Вчера только первые случаи с ним пошли

Длина блока, приходящего с сервера, 77 байт.

Пример блока для одной из разновидностей
[QUOTE][B]10175[/B] [B][COLOR="#0000CD"]CF72FE205087144A9D3E0D8B8FB1937C[/COLOR][/B][B][COLOR="#FF0000"]D4E3CEA31B28C79AF2A8A6E2A34E4AF7[/COLOR][/B][B][COLOR="#006400"]E785[/COLOR][/B][COLOR="#696969"][B]buk[/B][/COLOR][/QUOTE]

Выделенное [B]жирным[/B] - используется в имени файлов с картинками вымогателя
Выделенное [B][COLOR="#0000CD"]синим[/COLOR][/B] - преобразуется (алгоритм не выяснял) и используется как раз в качестве ключа (понятное дело работает на копиях содержимого файла)
Выделенное [B][COLOR="#FF0000"]красным[/COLOR][/B] - преобразуется и используется для шифрования исходного файла перед его усечением до нулевого размера (защита от восстановления исходного файла с помощью спецутилит)
Выделенное [B][COLOR="#006400"]зеленым[/COLOR][/B] - дополнительное расширение, которое получают файлы
Выделенное [B][COLOR="#696969"]серым[/COLOR][/B] - скорее всего идентификатор сервера, с которого приходил ключ

Что либо стало известно по теме расшифровки? :) Возможно стоит обратиться в Ваш платный отдел? Исправит ли это ситуацию?

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\tempory\systenn.exe - [B]Trojan-Ransom.Win32.Agent.ppa[/B] ( BitDefender: Gen:Variant.Kazy.305194, AVAST4: Win32:Malware-gen )[/LIST][/LIST]