No fim de semana, meu servidor pessoal foi atingido com o resgate LeChiffre. Infelizmente, eles conseguiram entrar devido a uma conta insegura do Active Directory. Desde então, desativei todas as contas e mudei as senhas, no entanto, todos os meus arquivos agora têm uma extensão .LeChiffre.
Consegui encontrar uma ferramenta de decodificação especificamente para essa infecção e, a princípio, parecia que ia funcionar. No entanto, depois de tentar abrir um arquivo que foi declarado descriptografado, ele não pôde ser aberto.
Como posso descriptografar esses arquivos?
Este é o software de resgate LeChiffre, não é o mesmo tanto quanto eu sei como CryptoLock
2
Restaurar a partir de um backup é sua única solução real.
—
Ramhound
Relacionado: superuser.com/questions/723600/…
—
Ƭᴇcʜιᴇ007
Note que apenas o primeiro e o último 8KB de arquivos são alterados por LeChiffre. Você pode salvar alguns dados.
—
Ben N
@BenN sou todo ouvidos, como você faria isso?
—
Phil
Quebre um editor hexadecimal (eu gosto de XVI32), pule para o endereço 0x2000 e copie tudo até 0x2000 antes do final. Arquivos pequenos terão sido destruídos, mas você provavelmente pode obter algo de arquivos grandes, embora fazer com que os programas aceitem sem o cabeçalho será um desafio.
—
Ben N