forked from shade-team/keys
-
Notifications
You must be signed in to change notification settings - Fork 0
/
README_RU.TXT
87 lines (70 loc) · 9.33 KB
/
README_RU.TXT
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
Мы - команда, стоявшая за созданием трояна-шифровальщика, наиболее известного как Shade, Troldesh и Encoder.858.
Фактически мы остановили свою деятельность по его распространению ещё в конце 2019 года, а сейчас, чтобы поставить последнюю точку,
нами было принято решение выложить все имеющиеся у нас ключи (более 750 тысяч), необходимые для расшифровки, в открытый доступ.
Свой софт для расшифровки мы также выкладываем; кроме того, рассчитываем, что антивирусные компании, получив ключи,
сделают собственные инструменты для расшифровки с более удобным интерфейсом.
Все остальные данные, имеющие отношение к нашей деятельности (включая исходные коды самого трояна), были безвозвратно уничтожены.
Мы приносим извинения всем пострадавшим и надеемся, что опубликованные нами ключи помогут им восстановить свои данные.
ЗЕРКАЛА ДЛЯ СКАЧИВАНИЯ:
https://yadi.sk/d/36uVFJ6bUBrdpQ (все ключи по отдельности; все ключи в архиве; софт)
https://cloud.mail.ru/public/5gy6/4UMfYqAp4 (все ключи по отдельности; все ключи в архиве; софт)
https://drive.google.com/open?id=1iA2KquslytIE83mwzlXPcL3u8Z0yoqat (все ключи в архиве; софт)
https://github.com/shade-team/keys (все ключи по отдельности)
https://github.com/shade-binary/bin (софт)
ИНСТРУКЦИЯ ПО РАСШИФРОВКЕ:
Примечание: часть выложенных программ детектируется некоторыми антивирусами, так как использует общие с шифровальщиком блоки кода.
Во избежание удаления все exe-файлы были заархивированы с одинаковым паролем: 123454321
Если ваши файлы после шифрования имеют одно или несколько расширений из этого списка, в папке keys вам будет необходима подпапка main:
* xtbl
* ytbl
* breaking_bad
* heisenberg
* better_call_saul
* los_pollos
* da_vinci_code
* magic_software_syndicate
* windows10
* windows8
* no_more_ransom
* tyson
* crypted000007
* crypted000078
* rsa3072
* decrypt_it
Если ваши файлы после шифрования имеют одно или несколько расширений из этого списка, в папке keys вам будет необходима подпапка alt:
* dexter
* miami_california
Далее необходимая вам подпапка будет обозначаться <dir>.
Подпапка master предназначена для некоторых производителей антивирусного ПО, им были направлены необходимые инструкции.
0. На время любых действий по восстановлению файлов рекомендуется закрыть все программы (в том числе антивирусное ПО) и не выполнять никаких других действий на компьютере.
Если у вас сохранился ID компьютера - перейдите к пункту 1. Если нет - к пункту 2.
Этот ID представляет собой строку из 20 букв и цифр вида AABBCCDDEEFF00112233 и сохранялся в файлах README.txt на рабочем столе и в корневых папках всех дисков.
Кроме того, в поздних версиях шифровальщика ID также добавлялся после имени зашифрованных файлов.
1. Если в коде из файла README.txt после вертикальной черты стоит ноль (например, AABBCCDDEEFF00112233|0), перейдите к пункту 1.1.
Если код из файла README.txt содержит три вертикальных черты (например, AABBCCDDEEFF00112233|765|8|1), перейдите к пункту 1.2.
1.1. Зайдите в папку /keys/<dir>/dynamic/<letter>/, где <letter> - первая буква или цифра вашего кода (в примере - A).
В папке /keys/alt/dynamic/ все файлы расположены вместе, без сортировки по первым буквам ID.
Найдите txt-файл, имя которого совпадает с вашим ID и скачайте его (если таких файлов несколько, скачайте все и повторите процедуру расшифровки с каждым из них).
Для быстрого поиска нужного файла можно воспользоваться поиском вашего ID на странице (сочетание Ctrl+F во всех браузерах).
Если файл(ы) найден(ы), перейдите к пункту 3.
1.2. Зайдите в папку /keys/<dir>/static/ и найдите файл с числом, стоящим после первой вертикальной черты (в примере - 765). Скачайте его и перейдите к пункту 3.
2. Скачайте и запустите программу /bin/getid.exe. Она отобразит ID, выполните с ним действия из пункта 1.
Если это не поможет, попробуйте выполнить пункт 2.1.
2.1. Создайте на своем компьютере папку с путём, содержащим только английские буквы и цифры (далее - c:\1\).
Скачайте в неё файл /bin/decrypt_bruteforce.exe и создайте рядом подпапку keys. После этого скачайте все файлы из /keys/<dir>/static/ (или саму эту папку) и поместите их в c:\1\keys\.
Возьмите любой из зашифрованных файлов и поместите в c:\1\.
Запустите decrypt_bruteforce.exe и дождитесь окончания работы. В случае успешного подбора ключа в окне отобразится имя файла, который его содержит.
Сохраните этот файл и перейдите к пункту 3.
3. Создайте на своем компьютере папку с путём, содержащим только английские буквы и цифры (далее - c:\decrypt\).
Скачайте и сохраните в неё файл /bin/decrypt.exe.
Можно воспользоваться вместо него программой /bin/decrypt_nolog.exe (отличие только в том, что она отображает менее детализированную информацию о ходе расшифровки).
Затем скопируйте в эту папку полученный на предыдущем этапе файл с ключом и переименуйте его в key.txt (key, если в вашей системе отключено отображение расширений файлов).
Если зашифрованные файлы расположены на вашем компьютере, просто запустите decrypt.exe.
Если зашифрованные файлы находятся на внешнем носителе, подключите его, затем нажмите Пуск->Выполнить->(введите) cmd.exe и нажмите Enter.
В открывшемся окне введите команду
cd c:\decrypt\ && decrypt.exe <path>
где <path> - имя подключенного внешнего носителя (например, S:\), и нажмите Enter.
Дождитесь окончания работы дешифровщика.
Если в папке с дешифровщиком появился файл RENAME.txt, скачайте и сохраните в эту папку программу /bin/rename.exe, запустите её и дождитесь окончания работы.
В случае возникновения каких-либо затруднений советуем дождаться появления более удобных инструментов расшифровки от антивирусных компаний,
и/или обратиться за бесплатной помощью на один из тематических форумов, например, https://forum.kasperskyclub.ru/index.php?showforum=26