Pliki zakodowane przez Win32/Filecoder.CR trojan. Da się odkodować?

[bziembicki]

Witam,

U jednego z użytkowników w mojej firmie zaatakował filecoder. Eset poddał kwarantanie mnóstwo plików. Po poddaniu kwarantannie, użyciu ADWCleanera nowepliki już nie były dalej kodowane niestety stare pozostały zaszyfrowane. System został przeinstalowany całkowicie, więc nie mam logów z poprzedniego systemu. Na świeży komputer zostały skopiowane zakodowane pliki. Kilkukrotne skanowanie na nowym systemie nie wykazuje już żadnych infekcji.

Moje pytanie jest - czy w jakiś sposób można odszyforwać te pliki ? Póbowałem decoderem z niebezpiecznik.pl ale program nie rozpoznał plików. Część z dokumentów udało mi się odzyskać z Windowsowego shadow copy.

 

Załączam screen z ESETa.

Mam też dwa pliki jako próbkę ale nie mogę ich załączyć

 

Pozdrawiam
Bartłomiej

[mgrzeg]

Poczekaj na pomoc Picasso, ale jeśli nie jest to dla Ciebie problem, to ja bym tylko poprosił o wyciągnięcie z kwarantanny pliku c:\users\kkrezel\appdata\roaming\b9429e7.exe (widoczny na załączonej miniaturce), spakowanie go z hasłem, wrzucenie na speedy.sh i podesłanie linku poprzez wiadomość prywatną.

 

m.g.

[picasso]

Pliki DECRYPT_INSTRUCTION.TXT / DECRYPT_INSTRUCTION.HTML wskazują na infekcję CryptoWall. By się upewnić, możesz uruchomić ID Tool, który ma wbudowaną bazę identyfikacji rodzaju infekcji (nie dekoduje nic). Aczkolwiek mam pewne wątpliwości jak narzędzie się zachowuje na sztucznym gruncie, tzn. w sytuacji: "System został przeinstalowany całkowicie. Na świeży komputer zostały skopiowane zakodowane pliki.".

Niestety, jeśli to jest CryptoWall, pliki są niemożliwe do odkodowania, cytuję z powyższego artykułu:

 

Is it possible to decrypt files encrypted by CryptoWall?

Unfortunately at this time there is no way to retrieve the private key that can be used to decrypt your files without paying the ransom on the CryptoWall Decryption Service. Brute forcing the decryption key is not realistic due to the length of time required to break an RSA encryption key. Also any decryption tools that have been released by various companies will not work with this infection. The only methods you have of restoring your files is from a backup, file recovery tools, or if your lucky from Shadow Volume Copies.