вторник, 7 марта 2017 г.

CryptON Decryptor

CryptON & X3M DECRYPToR 

Инструкция по использованию


Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах). 

Используйте этот декриптор, только если ваши файлы были зашифрованы и переименованы шифровальщиками CryptON, Nemesis, X3M Ransomware, которыми к зашифрованным файлам добавляются следующие расширения:
.id-<id>_x3m
.id-<id>_r9oj
.id-<id>_locked
.id-<id>_locked_by_krec
.id-<id>_locked_by_perfect
.id-<id>_garryweber@protonmail.ch
.id-<id>_steaveiwalker@india.com_
.id-<id>_julia.crown@india.com_
.id-<id>_tom.cruz@india.com_
.id-<id>_CarlosBoltehero@india.com_
.id-<id>_maria.lopez1@india.com_

CryptON, Nemesis, X3M относятся к общему семейству вымогателей, используемых для целевых атак через RDP. Файлы шифруются с использованием сочетания RSA, AES-256 и SHA-256.

Для начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе процесс шифрования будет продолжен. 

Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования. 

Для использования CryptON-декриптора потребуется зашифрованный файл не менее 32 байт и его незашифрованная версия. Выберите оба файла и перетащите их на файл декриптора.

👉 Для этой цели вы можете использовать образцы изображений, находящиеся по пути C:\Users\Public\Pictures\Sample\. Просто посмотрите на размеры файлов и выберите незашифрованное и зашифрованное изображения, имеющие одинаковые размеры. В русской версии Windows это следующий путь
C:\Пользователи\Общие\Общие изображения\Образцы изображений\

Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки. 
Процесс перетаска файлов на утилиту дешифровки

После перетаска файлов утилита запустится в работу и на запрос UAC (контроля учётных записей) нажмите кнопку "Да" для продолжения ее работы. Декриптор попытается получить ключ дешифрования. Когда ключ будет найден, он будет отображен в новом окне.

Есть вероятность того, что ключ определён неправильно. Потому желательно сначала провести дешифровку нескольких файлов, чтобы узнать правилен ли полученный ключ. И лишь потом, при их успешной дешифровке, использовать его для дешифровки остальных файлов.

При нажатии кнопки "OK" вам нужно будет ознакомиться и согласиться с лицензионным соглашением. Для продолжения нажмите кнопку OK. Вы увидите главный экран CryptON Decrypter.
По умолчанию программа сама определит локальные диски, чтобы найти и дешифровать зашифрованные файлы. При согласии и отсутствии других мест с зашифрованными файлами нажмите кнопку "Decrypt", чтобы запустить процесс дешифровки. Иначе, нажмите кнопку "Add file(s)", чтобы добавить файл(ы). 

 Если вы хотите, чтобы декриптор после дешифровки производил удаление зашифрованных файлов, то снимите галочку с опции "Keep encrypted files", которая находится во вкладке "Options". Это может быть даже необходимо, если место на жёстком диске ограничено.

Результаты дешифровки абсолютно прозрачны. Вы можете видеть их в окне вкладки "Results" вплоть до окончания дешифровки с надписью Finished!

По окончания процесса дешифровки все файлы, зашифрованные этим шифровальщиком, будут дешифрованы. 

Если вам требуется отчёт для ваших личных записей, вы можете сохранить его, нажав кнопку "Save log" или нажав на кнопку "Copy log to clipboard" скопировать его прямо в буфер обмена, чтобы вставить его в email или в сообщение на форуме, где вам оказывали помощь (если это требуется). 

После дешифрования не забудьте про "Общие рекомендации", 3-й пункт. 


Удачной дешифровки! 

ЕСЛИ НЕ ПОМОГАЕТ...
Если декриптор не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком, отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (документы Word и несколько изображений в форматах JPG и PNG, размером как у фотографий). 

© Amigo-A (Andrew Ivanov): All blog articles.