38 ответов в этой теме

[ANK1]

Вирус попал вместе с почтой, из вот такого электронного письма, зашифровал все файлы на ноутбуке с расширениями типа *.jpeg, *.doc , *.pdf  и т.д.  - к именам всех файлов добавлена такая запись .id-6805291089_maxcrypt@foxmail2.com , файлы зашифрованы. Сканер Dr. Web не определяет файл шифровальщика как вирус.

 

Есть четыре вопроса:

 

1. Почему в закрепленной наверху теме "Разновидности известных нам шифровальщиков" этот шифровальщик не значится, хотя о нем писали на этом форуме еще весной? 

 

2. За помощью по расшифровке файлов я обратился вчера в техническую поддержку, создал тикет  E***-3***. Специалист службы поддержки ответил - сначала попросил выслать еще несколько зашифрованных файлов в формате *doc, затем попросил выслать логи сделанные утилитой dwsysinfo.exe и командой dir C:\ /A/S.  Я предоставил ему все, что он просил. Однако мои вопросы заданные там же он проигнорировал - я спросил возможна ли расшифровка, спросил можно ли пользоваться зараженным ноутбуком - в ответ тишина.  Это нормальное поведение специалистов службы поддержки? Или может быть эти просьбы выслать файлы и логи рассылаются автоматически роботом службы поддержки, а не специалистом, и мне никто отвечать не собирается? Хотя имя специалиста отображается - Аслан Кунашев. Неужели трудно ответить хотя бы что-то стандартное типа "Мы постараемся решить вашу проблему, ожидайте". Просто молчать на мой взгляд невежливо. 

 

3. Как понять эту информацию? - 

Сначала на странице приема запросов на шифровку (https://support.drweb.ru/new/free_unlocker/for_decode/?lng=ru) написано:

В большинстве случаев расшифровка НЕВОЗМОЖНА.

Затем в начале страницы  http://antifraud.drweb.ru/encryption_trojsнаписано:

По статистике компании «Доктор Веб» расшифровка поврежденных троянцем файлов возможнатолько в 10% случаев.

И внизу той же страницы уже написано:

На сегодняшний день разработчик антивирусов Dr.Web является единственной компанией, специалисты которой с вероятностью в 90% могут полностью восстановить зашифрованные данные.

 

4. Вообще - были ли уже успешные случаи расшифровки файлов командой ТП Dr.Web, зараженных именно этим шифровальщиком? Или может даже не стоит надеяться, а не терять время и обращаться в другие компании, к тому же касперскому например? Тем более настораживает такая "неразговорчивость" службы поддержки.

 

Спасибо.

Сообщение было изменено VVS: 01 Декабрь 2015 - 12:26
Номера тикетов ТП на форуме публиковать запрещено

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[v.martyanov]

Под "неразговорчивостью" техподдержки вы что понимаете? Вам техподдержка отвечает, вообще-то.

[ANK1]

Под "неразговорчивостью" техподдержки вы что понимаете? Вам техподдержка отвечает, вообще-то.

 

Ни на один мой вопрос не ответила.  Вот мои вопросы в переписке:

 

Аслан, добрый день. 
Какие наши дальнейшие действия? Ждать новостей от вас? Можно ли пользоваться ноутбуком? Какое примерно время может занять процесс расшифровки? Спасибо.

..............................................

Если это возможно - можно ли дублировать сообщения о статусе заявки на имэйл an....@bk.ru ? Доступ к имэйлу ....@inbox.ru сейчас ограничен, нам удобнее пользоваться указанным имэйлом. 

P.S. 
Есть ли надежда на дешифровку файлов?

[ANK1]

И еще вопрос - я сразу же предоставил в службу поддержки исходный файл вируса-шифровальщика. Это exe-шный файл. При запуске эта программа прописывается в автозагрузку и начинает выполнять шифрование, видна в диспетчере задач windows в списке запущенных процессов с тем же именем, никуда не прячется...

 

Повышает ли наличие этого файла надежды на быструю дешифровку? Правильно ли я понимаю, что алгоритм шифрования собственно и содержится в этом файле, и что если изучить его программный код например или заразить им несколько тестовых файлов, то можно понять алгоритм дешифровки?...

[v.martyanov]

Алгоритм я вам и так понятен, нет никакого смысла его прятать. Есть еще ключи, которые как раз никому не известны.

[VVS]

И еще вопрос - я сразу же предоставил в службу поддержки исходный файл вируса-шифровальщика. Это exe-шный файл. При запуске эта программа прописывается в автозагрузку и начинает выполнять шифрование, видна в диспетчере задач windows в списке запущенных процессов с тем же именем, никуда не прячется...
 
Повышает ли наличие этого файла надежды на быструю дешифровку?

Нет, не повышает.

Правильно ли я понимаю, что алгоритм шифрования собственно и содержится в этом файле, и что если изучить его программный код например или заразить им несколько тестовых файлов, то можно понять алгоритм дешифровки?...

Алгоритм и так известен, но от этого не легче.

[ANK1]

Дык а ключи программа откуда берет? Разве они не в самой этой программе содержатся? Я еще понимаю если с помощью той же например хэш-функции необратимо зашифровывается какой-то ключ, который обратно расшифровать уже невозможно, только перебором. Но эта программа же не берет исходные ключи откуда-то извне? Они где-то должны быть прописаны в самой программе, внутри? Или чего-то не понимаю?

[VVS]

Дык а ключи программа откуда берет? Разве они не в самой этой программе содержатся?

Они генерируются на Вашем компьютере случайным образом.

[ANK1]

А нету ли случайно у специалистов компании возможности облегчить жизнь миллионов пользователей и прославить компанию Dr.Web - создать три простенькие программки?

 

Одна программка анализирует зашифрованные файлы выделяет из них хэш ключа,  вторая программка по найденному хэшу пытается подобрать ключ методом подбора/перебора/атаки по словарям, и третья программка по найденному ключу производит восстановление зашифрованных файлов?

[ANK1]

 

Дык а ключи программа откуда берет? Разве они не в самой этой программе содержатся?

Они генерируются на Вашем компьютере случайным образом.

 

 

Случайным образом? Каким же тогда образом разработчики вирусов за деньги расшифровывают данные, если они сами не знают ключей? Может все-таки не случайным образом?

[VVS]

IMHO что-нибудь подобное, наверно, создать смогут.

Проблема в другом - согласятся ли пользователи подождать сотню-другую лет, пока программа подберёт ключ.

[VVS]

 

 

Дык а ключи программа откуда берет? Разве они не в самой этой программе содержатся?

Они генерируются на Вашем компьютере случайным образом.

 

 

Случайным образом? Каким же тогда образом разработчики вирусов за деньги расшифровывают данные, если они сами не знают ключей? Может все-таки не случайным образом?

 

Случайным.

Про PGP почитайте - в гугле информации много.

[v.martyanov]

Давайте вы сначала разберетесь в предметно области, а потом будете предложения выдвигать? Из массовых троянов только один(!!!) хранит в файле хэш ключа. Подбор по каким словарям вы для этого случая предлагаете? Там ключ длиной 100 (сто) букв. Число вариантов посчитайте, потом скорость перебора, которая нужна чтобы его подобрать хотя бы за 1 год. Ну и даже если вы, внезапно, сможете придумать достаточно быстрый алгоритм перебора (тут всемирная слава, почет, конференции до конца дней), программа для расшифровки не будет пригодна для других вариантов трояна (то есть конкретно в вашем). И еще, когда вы выполните наконец все три пункта, посчитайте затраченное время, силы, средства и отдайте результаты всем и каждому.

[ANK1]

IMHO что-нибудь подобное, наверно, создать смогут.

Проблема в другом - согласятся ли пользователи подождать сотню-другую лет, пока программа подберёт ключ.

 

 

Каким же образом тогда Dr.Web, касперскому и другим удается создавать дешифровальщики, если все так плохо как вы рассказываете? Или у Dr.Web есть сверхмощные компьютеры которые решают эту задачу намного быстрее?

 

Ладно, это все лирика. По моему вирусу нет никакой инфы? Вот вижу человек весной обращался с такой же проблемой - http://forum.drweb.com/index.php?showtopic=320885&hl=maxcrypt%40foxmail2.com

Кто знает - ему помогли или нет? А моей проблемой занимаются или нет? Сообщения от службы поддержки и правда похожи на стандартные сообщения роботов, вот они:

 

№1. Прикрепите к запросу несколько зашифрованных doc(не docx) файлов. 

С уважением, Аслан Кунашев, 
служба технической поддержки компании "Доктор Веб".

 

№2. Выполните следующие действия на пострадавшем ПК: 

1. Скачайте утилиту dwsysinfo.exe ( http://download.geo.drweb.com/pub/drweb/tools/dwsysinfo.exe ), сохраните ее на рабочем столе и запустите. 
2. Нажмите кнопку «Сформировать отчет». 
3. После появления сообщения об успешном формировании архива нажмите на ссылку с его названием. Вы увидите файл, в названии которого будут указаны имя компьютера, имя учетной записи, дата и время формирования отчета. 
4. Прикрепите этот архив к своему следующему комментарию 
Приложите с пострадавшей машины 
-вывод команды dir C:\ /A/S 
Как вариант, получить его можно так: 
cmd /c dir %systemdrive%\ /a/s > "%userprofile%\dirc.log" 
(в этом примере вывод дир сохраняется в "%userprofile%\dirc.log" ) 
С уважением, Аслан Кунашев, 
служба технической поддержки компании "Доктор Веб".

 

 

Все. Больше никаких сообщений не было, ответов на мои вопросы нет. Мне чего делать-то? Ждать? Или не ждать? VVS, вы ка модератор форума имеете ли какое-то отношение к службе поддержки или нет? 

[v.martyanov]

"Каким же образом тогда Dr.Web, касперскому и другим удается создавать дешифровальщики, если все так плохо как вы рассказываете? Или у Dr.Web есть сверхмощные компьютеры которые решают эту задачу намного быстрее?" А вот это, уж извините, я вам не расскажу :-) Да, есть кластер, который позволяет за пару часов обсчитывать то, на что раньше уходили недели.

[VVS]

IMHO что-нибудь подобное, наверно, создать смогут.
Проблема в другом - согласятся ли пользователи подождать сотню-другую лет, пока программа подберёт ключ.

 
 
Каким же образом тогда Dr.Web, касперскому и другим удается создавать дешифровальщики, если все так плохо как вы рассказываете? Или у Dr.Web есть сверхмощные компьютеры которые решают эту задачу намного быстрее?

IMHO расшифровать подобное можно только тогда, когда технокрыс допустил какую-нибудь ошибку в алгоритме.
 

VVS, вы ка модератор форума имеете ли какое-то отношение к службе поддержки или нет? 

Нет, не имею.

[ANK1]

 

VVS, вы ка модератор форума имеете ли какое-то отношение к службе поддержки или нет? 

Нет, не имею.

 

 

А вообще на этом форуме бывают специалисты службы поддержки или кто-нибудь кто может ответить на мой вопрос насчет моего тикета? Или куда лучше обратиться? По телефону на сайте 8-800-333-7932 вариант позвонить и спросить? Или никто ничего не знает и не ответит?

[VVS]

ANK1, насколько я вижу, сотрудники ТП здесь появляются достаточно редко.

Так что IMHO лучше по телефону.

[B.Chugunov]

Или может быть эти просьбы выслать файлы и логи рассылаются автоматически роботом службы поддержки, а не специалистом, и мне никто отвечать не собирается?

В техподдержке не отвечает робот, Вам ответил специалист.

Как понять эту информацию?

В большинстве случаев расшифровка НЕВОЗМОЖНА.

практически тоже самое, что 

расшифровка возможна только в 10% случаев

только другими словами, 10% это явное меньшинство. Большинство не подлежит расшифровке.

с вероятностью в 90% могут полностью восстановить зашифрованные данные

то, что файлы расшифровать можно, не значит, что во время процедуры расшифровки все они смогут корректно расшифроваться, файлы могли быть испорчены во время процедуры шифрования и восстановлению не подлежать
есть случаи, когда даже сами злоумышленники зная схему и ключ не могут восстановить данные, поэтому вероятность не 100%

1. Какие наши дальнейшие действия? 2. Ждать новостей от вас? 3. Можно ли пользоваться ноутбуком? 4. Какое примерно время может занять процесс расшифровки? Спасибо.
5. Если это возможно - можно ли дублировать сообщения о статусе заявки на имэйл an....@bk.ru ? Доступ к имэйлу ....@inbox.ru сейчас ограничен, нам удобнее пользоваться указанным имэйлом. 

6. Есть ли надежда на дешифровку файлов?

 

1.Никаких, ждать, следить за состоянием запроса
2. Да

3. Лучше там вообще ничего не трогать
4. от 0 до бесконечности, если ближе к бесконечности, то специалист сообщит Вам об этом в запросе
5. все ответы уходят на тот е-мейл, что указан в запросе, предполагается, что пользователь изначально указал какой ему удобнее, если Вам не удобно настройте, пожалуйста переадресацию на своем почтовом ящике. В настройках фильтрации есть пункт "Пересылать все письма на адрес..."

6. Надежда умирает последней, ожидайте ответа в ближайшие дни, если запрос в обработку поступил Вас никто не бросит.