Перейти к содержимому


Фото
- - - - -

Зашифрованы файлы, DirtyDecrypt.exe


  • Please log in to reply
4 ответов в этой теме

#1 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 13 Август 2013 - 17:38

Признаки заражения: Файлы зашифрованы, дополнительного расширения нет. Имеются сообщения о DirtyDecrypt.exe

 

Информация по трояну: Trojan.Encoder.283, aka DirtyDecryptor.

 

Криптография: RSA и RC4.

 

Расшифровка: Возможно расшифровать все кроме первого килобайта данных, только толку от этого, считайте, никакого...

 

Что необходимо сделать:

- озаботиться информационной безопасностью ваших машин.

- обратиться с заявлением о совершенном преступлении в правоохранительные органы.


Сообщение было изменено v.martyanov: 13 Август 2013 - 18:09

Личный сайт по Энкодерам - http://vmartyanov.ru/


#2 mrFiX

mrFiX

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 13 Август 2013 - 21:54

Первый 1К в принципе нельзя расшифровать (из-за криворукости писателей шифровальшика) или какая-то чать ключа уникальная для каждого заражения ?



#3 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 14 Август 2013 - 10:40

RSA, вот и нельзя.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#4 udgen1986

udgen1986

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 04 Июнь 2015 - 11:00

как определить что он зашифровал?

 

Файлы зашифровались без переменовывания.

На дисках появились файлы 
"ХОЧЕШЬ ВЕРНУТЬ ФАИЛЫ!.txt"

Содержимое.
"Здравствуйте! все ваши данные на дисках зашифрованы если хотите расшифровать ваши фаилы то пишите нам на емайлvorjdsa@mail.ru и на Opensupport@india.com мы ответим в течении 1-4 часов ПРИ ОБРАЩЕНИИ УКАЖИТЕ ВАШ ПЕРСОНАЛЬНЫЙ КОД

Ваш код 27863256

мы предоставляем гарантии расшифровки! 

заражение было судя по всему из-за того, что порт рдп был открыть и простой пароль админа.

не могу понять какой утилитой пробовать декодировать
пробовал ректора от касперского и te94decrypt.exe, te225decrypt.exe от доктора вэба.

где можно взять еще утилиты для расшифровки и инструкции к ним? e94decrypt.exe работает через командную строку.

Был текстовый файл с паролем с содержимым 5001128
теперь открываю а там непонятно что. см.Пароль тхт



#5 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 814 Сообщений:

Отправлено 04 Июнь 2015 - 11:29

udgen1986http://forum.drweb.com/index.php?showtopic=315563
Первый пост.




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых