Jump to content


 


Register a free account to unlock additional features at BleepingComputer.com
Welcome to BleepingComputer, a free community where people like yourself come together to discuss and learn how to use their computers. Using the site is easy and fun. As a guest, you can browse and view the various discussions in the forums, but can not create a new topic or reply to an existing one unless you are logged in. Other benefits of registering an account are subscribing to topics and forums, creating a blog, and having no ads shown anywhere on the site.


Click here to Register a free account now! or read our Welcome Guide to learn how to use this site.

Photo

Decryption .master ransomware


  • This topic is locked This topic is locked
3 replies to this topic

#1 SantosLuna

SantosLuna

  • Members
  • 2 posts
  • OFFLINE
  •  
  • Local time:06:35 PM

Posted 12 July 2017 - 01:00 PM

Hola.

 

Buenas tardes.

 

Tras un ataque en mi servidor, he utilizado la herramienta BtcwareDecrypter y he conseguido por el momento desencriptar la información perdida.

 

Muchas gracias por su aportación !!!!!!!!

 

 

Tengo un problema con los ficheros inferiores a 10 megas.

 

Efectivamente, existen 16 bites de más en los archivos.  En este caso, algunos funcionan correctamente y otros no. 

por ejemplo los PDF se pueden visualizar, los XLS también, pero tengo problemas con las bases de datos DBF y sus índices CDX

 

He comprobado que borrando del archivo los bytes que sobran el archivo funciona. 

 

La pregunta es :

 

Han encontrado algún patrón de conducta para saber cuantos bytes tiene de mas el fichero?

porque en algunos casos son 2 bytes, , 6 bytes, 14 bytes, etc.

 

Es para realizar una pequeña aplicación y recuperar todas las bases de datos de golpe, ya que son cientos y hacerlo manualmente es un trabajo enorme.

 

Gracias.

 

 

 

 



BC AdBot (Login to Remove)

 


#2 Demonslay335

Demonslay335

    Ransomware Hunter


  • Security Colleague
  • 3,511 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:USA
  • Local time:11:35 AM

Posted 12 July 2017 - 01:50 PM

I'm afraid there is no automated way of doing it without knowing the ins and outs of every file format; not all have a very specific thing to look for at the end either. The criminals made a mistake in how they handle padding with smaller files, so it ends up with a corrupted buffer of garbage at the end. There's no way for me to detect how many of those bytes are garbage or legitimate. There's also no way to know what the original size of the file was to just trim them off.


logo-25.pngID Ransomware - Identify What Ransomware Encrypted Your Files [Support Topic]

ransomnotecleaner-25.png RansomNoteCleaner - Remove Ransom Notes Left Behind [Support Topic]

cryptosearch-25.pngCryptoSearch - Find Files Encrypted by Ransomware [Support Topic]

If I have helped you and you wish to support my ransomware fighting, you may support me here.


#3 SantosLuna

SantosLuna
  • Topic Starter

  • Members
  • 2 posts
  • OFFLINE
  •  
  • Local time:06:35 PM

Posted 12 July 2017 - 02:18 PM

Muchas Gracias por tu aclaración. !!!!

 

Miraré de reparar las bases de datos probando cada una de ellas. 

 

Si encuentro algún patrón para saber cuantos son los que faltan, lo expondré en este foro, por si fuera de utilidad para alguien.

 

Abusando de tu confianza, una cuestión :

Es seguro que como máximo son 16 bytes de basura?

 

Y el tamaño del fichero grande de 10 megas correspondería exactamente a :  10485760 bytes ?

 

Es por acotar la búsqueda, ya que he comprobado que realizando un bucle de 16 a 2 bytes y probando en cada caso abrir la tabla, he conseguido

resultados positivos, obteniendo el número de bytes a quitar para conseguir la tabla sin corromper.

 

El proceso es lento, pero me resulta esperanzador. 

 

Si obtengo resultados lo publicaré en este foro.

 

Muchas Gracias por su colaboración y deseo felicitar al foro y desarrolladores.

 

Disculpe no poder expresarme correctamente en Inglés.

 

Gracias.

 

Thanks



#4 quietman7

quietman7

    Bleepin' Janitor


  • Global Moderator
  • 51,471 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Virginia, USA
  • Local time:12:35 PM

Posted 12 July 2017 - 02:39 PM

Hay un debate en curso en este tema donde las víctimas pueden publicar comentarios, hacer preguntas y buscar más ayuda. Otras víctimas han sido dirigidas allí para compartir información, experiencias y sugerencias.En lugar de tener a todos con temas individuales, sería mejor (y más manejable para el personal) si usted publicó más preguntas, comentarios o solicitudes de asistencia en el tema de apoyo anterior debate ... que incluye experiencias de expertos, una variedad de TI Consultores, usuarios finales y representantes de empresas que han sido afectados por infecciones de ransomware. Para evitar confusiones innecesarias, este tema está cerrado.

Gracias
El personal de BC
.
.
Windows Insider MVP 2017-2018
Microsoft MVP Reconnect 2016
Microsoft MVP Consumer Security 2007-2015 kO7xOZh.gif
Member of UNITE, Unified Network of Instructors and Trusted Eliminators

If I have been helpful & you'd like to consider a donation, click 38WxTfO.gif




0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users