Closed sifoncl closed 3 weeks ago
First of all, you need the X25519 private key (privkey.bin). proxima48_decrypt_file.py (.BTC, .FAST, .havoc, .alvaro, .harward, .rival, .elibe, .ELCTRONIC, .ELECTRONIC) proxima64_decrypt_file.py (.BLackShadow, .BLackSh, .BlackStore, .ZeroCool, .Black, .X, .Gomez, .Jarjets, .Off, .Daniel, .Xray, .Tisak, .SNet, .Jack, .Sergey, .phoenix, .uploaded, .transferred, .Antoni, .Sezar, .sysinfo) proxima72_decrypt_file.py (.Hercul, .Dominik, .Elons) To decrypt your files, you will need the private key X25519, which the attackers have. :-(
Attakers Email is Elons1890@mailum.com Elons1890@cyberfear.com и я думаю дальше будет проще говорить на русском это он? .Elons df138c96b45614d5224eb00d3051ac7078fa12cf3e26dd86d9469f687c133dd9 2024-06-10 02:08:35 я на джаве писал сравнение файлов шифрованного и обычно шифрует первые 256 кб и в конце приписывает что то 72 байта вроде....
Ok! Точно, расширение .Elons. Скрипт для расшифровки файлов proxima72_decrypt_file.py, но файл privkey.bin должен содержать соответствующий приватный ключ. Для этого образца (df138c96b45614d5224eb00d3051ac7078fa12cf3e26dd86d9469f687c133dd9) у меня нет приватного ключа. К сожалению, эти скрипты для Proxima не помогут без наличия приватного ключа. Скрипты разработаны для демонстрации криптосхемы программы-вымогателя, либо когда нужна расшифровка отдельных файлов. В реализации криптосхемы Proxima я не нашел ошибок, которые позволяли бы расшифровывать файлы без приватного ключа
72 в названии скрипта и есть размер дописываемых в конец файла метаданных
IF YOU SEE THIS PAGE, IT MEANS THAT YOUR SERVER AND COMPUTERS ARE ENCRYPTED.
934F71189C9E2BA6
Send us a small encrypted file to the listed emails. (The files must be in a common format, such as: doc-excel-pdf-jpg) We will decrypt these files and send them back to you as evidence.
Contact us: Elons1890@mailum.com Elons1890@cyberfear.com это записка, но приватного ключа я так понимаю нет? 934F71189C9E2BA6 а это публичный?
934F71189C9E2BA6 - это первые 8 байт публичного ключа, который содержится в вашем образце
Короче, пока не попадётся приватный ключ файлы не расшифровать? А его я так понимаю нет(
Увы, это так
А шансы есть что его сольют или что он ответит на письмо?
По поводу "сольют", не могу сказать. Это закрытая персидская партнерка, в принципе должны ответить. Можно попробовать значительно скинуть сумму, например, в качестве аргумента высказать, что долго отвечают или мало средств
Спасибо, попробую написать, а то жалко весь семейный архив фото зашифровало(
Вот и напишите про это
UPD в общем связался я с эти ребятками они хотели 1000$ в итоге скостил до 150$, пол дня возился с криптой скинул им, в биткоинах, не обманули и прислали декриптор он отработал и все сделал, есть какие-нибудь советы, чем-то может файлы проверить и тп... Ps если над декриптор скину...
Ну, я думаю, более-менее нормально получилось. :-) Это подсемейство Proxima (BlackShadow) меньше других косячит с шифрованием и декриптом, она даже добавили счетчик блоков. С файлами должно быть нормально. Скиньте декриптор, если не затруднит. Я Вам на почту ссылку на гугл драйв скину
Could you help withs decription? Im not skilled in python so i couldn undertand how to use it( PLease Contact me Virusss1990@gmail.com![image](https://github.com/rivitna/Malware/assets/156774910/0d0c8035-7fa6-4ce1-8256-ac258ec5624d)