Dekryptor na malware BTCware (pravděpodobně novější verze)
Ahoj,
dostal se ke mně počítač, na kterém si zařádil tenhle neřád. Vygeneroval zašifrované soubory s koncovkou [dudaryda@protonmail.ch].master. Bohužel jsem zatím nenašel decryptor, který by zafungoval.
Naštěstí jsem byl schopen obnovit většinu dat ze zálohy (tj. k dispozici je originál i šifrovaná verze), nicméně chybí dva nebo tři soubory, které vlastníkovi chybí ke štěstí.
Nemáte někdo tip, kde pohledat? Google zarytě mlčí na tuto konkrétní variantu, generické dekryptory nefungují.
Osobně tomu moc šancí nedávám, ale co kdyby...
Tady nic? https://www.bleepingcomputer.com/forums/t/644140/b tcware-ransomware-support-topic-btcware-how-to-fix -hta-read-metxt/
ten umí jen starou RC4-verzi. Na AES se nechytá. Těch dekryptorů jsem zkoušel mnoho (Avast, AVG, Trendmicro, ..)
Jsou tam body obnovení? Nezkoušel jsi vytáhnout ty soubory pomoci Shadow Explorer z bodu obnoveni?
Zkoušel jsem, bohužel novější verze malware body obnovy mažou.
Body obnovení může vir smazat pouze v případě, že mu to uživatel umožní, tzn. je přihlášen jako správce a ještě potvrdí elevaci práv. Pak už je to blbost uživatele. A uživatelé jsou nepoučitelní
Mechanismus nákazy byl docela zajímavý, člověku se chce až napsat "to nevymyslíš"
Pouč nás
hrál v tom roli nezabezpečený starý PC a průchod přes RDP.
mozes to trochu rozviest? Cez RDP spustil uzivatel nieco alebo ako?
ne, ten malware si umí sám udělat/zprostředkuje cestu na jiné stroje přes RDP, pokud funguje doména/autentizace.
Prostě se šíří v LAN/WAN i přes RDP.
tu ponúkajú nejaké riešenie a rozlúštený crypto-key z btcware https://www.bleepingcomputer.com/forums/t/644140/b tcware-ransomware-support-topic-btcware-how-to-fix -hta-read-metxt/?p=4232275
to jsem zkoušel snad jako první - verzi 1.5.0.11