Sziasztok!
Az ügyfél nálam is úgy döntött, hogy fizet, így megírom a helyreállítás történetet, hátha segít azoknak, akiknek a hálózati meghajtóról nem sikerült visszaállítani.
Ebben az esetben egy külső merevlemezen és a C meghajtón történtek a titkosítások. Minden titkosított állomány kapott egy vranhah kiterjesztést. A dokumentumok mappába került egy !Decrypt-All-Files-vranhah.txt és bmp.
Tor-on a http://fizxfsi3cad3kn7v.onion/ címre kellett menni, a publikus kulcs ez volt:
ATFUE6T-XIA4ANC-WYSD7SP-W6AA2CD-SCF2IGU-CTICUWW-7JFZN43-5OWKZ5U
YRKQ7M4-UTYCKBZ-LBUO6ED-5INUGVX-4G6OCOQ-4BGDYKH-FXX54O7-W6QGX4U
QHSD3OI-CGIIG3P-2BSTGFQ-R3EEG72-LFPFXO7-KIOM5WF-GSPVKX7-ZUMHIIC
1.7 BTC volt a tarifa, a már javasolt https://www.instacoins.eu oldalon vettem a BTC-t, kicsit körülményes kiszámolni a pontos összeget, mert az árfolyam durván ugrál és HUF-ban kell megadni, hogy mennyiért akarunk vásárolni.
Miután megjött a BTC, átutaltam, 15 perc után tényleg ott volt a link a CTB-Unlocker.exe -re és a privát kulcs is ott volt.
Nem mertem rögtön a gépen futtatni a programot, nehogy valami maradék vírus esetleg újra megszivasson, hanem lementettem a titkosított kiterjesztésű fájlokat (a könyvtárstruktúrát meghagyva), majd egy vmware-es windows-ban hálózat nélkül lefuttattam (egy üres d meghajtóra másoltam a fájlokat). Ez sikeresen lefutott és megcsinálta, amit kell.
Amikor a másik meghajtó fájljait másoltam fel és futtattam, akkor viszont nem állított vissza semmit. Nyomtam vmware-ben egy revert to snapshop-ot, majd tiszta lappal futtatva már visszaállította a másik meghajtó fájljait is. Azt tehát elmondhatjuk, hogy a meghajtó betűjel az nem játszik szerepet a titkosításban, tehát ha egy hálózati meghajtó fájljait ezzel a módszerrel felmásoljuk, akkor jó eséllyel menni fog.
mADáR