38 ответов в этой теме

[VVS]

В принципе, можно заменить диск на ноуте, а этот отложить в сторону и надеятся на везение.

[ANK1]

Гм... нашел интересный онлайн анализатор файлов, случайно не может это помочь с расшифровкой?)  Вот результат анализа файла вируса-шифровщика, некоторые строки там очень похожи на пароли-ключи, может быть можно их как-то попробовать?) 

-

https://www.hybrid-analysis.com/sample/449f286e97b7570b45e12a81212db5a4a916366feddd9a910eb7d3af7d18df21?environmentId=1

[ANK1]

И еще вопрос - вот здесь видно что только две антивирусные программы определяют этот файл как вирус:

 

https://www.virustotal.com/ru/file/449f286e97b7570b45e12a81212db5a4a916366feddd9a910eb7d3af7d18df21/analysis/

 

К сожалению ни один из этих двух антивирусов - не Dr.Web.  Возможно ли чтобы в будущем Dr.Web умел определять файлы как вирусы? Или алгоритм Dr.Web принципиально этого не может?

[v.martyanov]

Смотрите внимательно на дату проверки VT.

[ANK1]

Смотрите внимательно на дату проверки VT.

Значит кто-то уже проверял этот файл вчера. Сейчас - да, повторил проверку, вижу Dr.Web уже определяет его как BackDoor.Siggen2.23. Надеюсь файл не просто попал в антивирусную базу после моего тикета, а действительно определяется алгоритмом анализа..

[v.martyanov]

 

Смотрите внимательно на дату проверки VT.

Значит кто-то уже проверял этот файл вчера. Сейчас - да, повторил проверку, вижу Dr.Web уже определяет его как BackDoor.Siggen2.23. Надеюсь файл не просто попал в антивирусную базу после моего тикета, а действительно определяется алгоритмом анализа..

 

Я очень надеюсь что вы понимаете, что попадание в базу и есть "определяется".

[ANK1]

Написал письмо на maxcrypt@foxmail2.com, спросил можно ли восстановить файлы.

Ответили кратко - 200$.

Сбросил им в ответ одно из зашифрованных фото с просьбой дать гарантию что расшифровка возможна.

Через пару часов прислали мое расшифрованное исходное фото.

 

Вот так...  а вы говорите что ключи там случайным образом где-то генерируются...

 

200$ за эту инфу для меня слишком дорого, да и гарантий нет что не кинут... буду ждать что поможет ТП... 

[maxic]

ANK1, вы, видимо, издеваетесь? Ключи генерируются случайным образом. Разумеется, у преступников они имеются. Но это не отменяет того, что ключи генерируются случайным образом.

[pig]

а вы говорите что ключи там случайным образом где-то генерируются...

Так хозяину-то они отсылаются. Там всё схвачено.

[ANK1]

Ну вот и дождался через три дня...

 

На данный момент расшифровка нашими силами видится невозможной. 

Таким образом, основная рекомендация : обратитесь с заявлением в территориальное управление "К" МВД РФ; 
по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства. 
Образцы заявлений, а также ссылка на госпортал ("Порядок приема сообщений о происшествии в органах внутренних дел РФ") есть на нашем сайте: http://legal.drweb.com/templates 
Возможно, в результате полицейской акции поймают автора/"хозяина" троянца и выяснят у него шифроключ. 

Итого: хранить зашифрованные файлы - смысл есть; держать этот тикет открытым - нет : 
если мы получим какую-либо практически полезную для расшифровки ваших файлов информацию, мы сами переоткроем этот запрос и сообщим вам. 
Это отслеживается в т.ч и для закрытых запросов по энкодерной тематике 

С уважением,
служба технической поддержки компании "Доктор Веб".

 

Классно, чо.

 

[INTEL_]

Здравствуйте.

сегодня на почту пришел архив ХХХХХХХХХХХХХХ.rar в бухгалтерию ну и естественно его запустили..))) внутри был вирус шифровальщик 

все за шифровалось..)) в такой вид: ".id-7490575901_maxcrypt@foxmail2.com" на рабочем столе появилась заставка мол напишите на maxcrypt@foxmail2.com и мы вам "поможем" как-то так..)завтра выложу логи.

наверное он какой-то модифицированный его и DrWeb и KVRT и AVAST пропустили даже не задумываясь..))

[Vladimir K.]

его и DrWeb и KVRT и AVAST пропустили даже не задумываясь..))

 

Они у вас все три вместе стоят? Или вы CureIt имели ввиду?

[INTEL_]

 

его и DrWeb и KVRT и AVAST пропустили даже не задумываясь..))

 

Они у вас все три вместе стоят? Или вы CureIt имели ввиду?

 

скачивал KVRT, и CUREIT часа через 1,5 после заражения. а Авастина стоял..))

написал вчера на "maxcrypt@foxmail2.com" и довольно быстро получил ответ.

Дмитрий Виноградов <dimitrii6437@gmail.com>23:08 (11 ч. назад)

кому: maxcrypt

здравствуйте все как вы и задумывали за шифровалось 
".id-7490575901_maxcrypt@foxmail2.com"какова цена вопроса..?

maxcrypt <maxcrypt@foxmail2.com>2:22 (8 ч. назад)

кому: мне

200$

Дмитрий Виноградовкуда 16 декабря 2015 г., 2:22 пользователь maxcrypt <maxcrypt@foxmail2.com> н...0:29 (10 ч. назад)




maxcrypt <maxcrypt@foxmail2.com>2:38 (8 ч. назад)

кому: мне

Для гарантии,можете прислать тест файл .1-2 мб
Стоимость восстановления 200$
Примем только биткоин
Эквивалент 0.5 биткоин ~ 200$
Купить bitcoin можно здесь
https://xchange.cc/
http://wmglobus.com
https://matbea.com
https://wmcash.biz
Пополнить кошелёк биткоин   1BNMZR5TQ1RdYhMTHEA5jJsXA4tgagpKHc
Счёт на одну транзакцию,мы поймём что это от вас.
Обменники примут любую валюту,нам только биткоин.
Ищите поддержку онлайн на сайтах обмена, они помогут с переводом.
Программу восстановления вышлем при поступлении монет.
В подтверждении реальности обмена, вы можете выслать 10 $ на указанный кошелек биткоин и мы вышлем вам дешифратор,
после оплаты всей суммы ,получите пароль.

 

..)

[TASS]

INTEL_, планируете обратиться с заявлением в территориальное управление "К" МВД РФ ?

Сообщение было изменено TASS: 16 Декабрь 2015 - 11:44

[Vladimir K.]

 

 

его и DrWeb и KVRT и AVAST пропустили даже не задумываясь..))

 

Они у вас все три вместе стоят? Или вы CureIt имели ввиду?

 

скачивал KVRT, и CUREIT часа через 1,5 после заражения. а Авастина стоял..))

написал вчера на "maxcrypt@foxmail2.com" и довольно быстро получил ответ.

Дмитрий Виноградов <dimitrii6437@gmail.com>23:08 (11 ч. назад)

кому: maxcrypt

здравствуйте все как вы и задумывали за шифровалось 
".id-7490575901_maxcrypt@foxmail2.com"какова цена вопроса..?

maxcrypt <maxcrypt@foxmail2.com>2:22 (8 ч. назад)

кому: мне

200$

Дмитрий Виноградовкуда 16 декабря 2015 г., 2:22 пользователь maxcrypt <maxcrypt@foxmail2.com> н...0:29 (10 ч. назад)




maxcrypt <maxcrypt@foxmail2.com>2:38 (8 ч. назад)

кому: мне

Для гарантии,можете прислать тест файл .1-2 мб
Стоимость восстановления 200$
Примем только биткоин
Эквивалент 0.5 биткоин ~ 200$
Купить bitcoin можно здесь
https://xchange.cc/
http://wmglobus.com
https://matbea.com
https://wmcash.biz
Пополнить кошелёк биткоин   1BNMZR5TQ1RdYhMTHEA5jJsXA4tgagpKHc
Счёт на одну транзакцию,мы поймём что это от вас.
Обменники примут любую валюту,нам только биткоин.
Ищите поддержку онлайн на сайтах обмена, они помогут с переводом.
Программу восстановления вышлем при поступлении монет.
В подтверждении реальности обмена, вы можете выслать 10 $ на указанный кошелек биткоин и мы вышлем вам дешифратор,
после оплаты всей суммы ,получите пароль.

 

..)

 

 

Если бы стоял полноценный DrWeb 11, то не пропустил бы, превентивка бы сработала, а CureIt - да, мог и не увидеть.

К сожалению, в связи с последними изменениями в политике компании, боюсь, что здесь Вам не помогут с расшифровкой. Если Аваст был платный - попытайтесь обратиться к ним.

[VVS]

Alud, я Вам на эту реплику уже отвечал.

Вам пока что устное предупреждение за флейм.

Модератор.

[Alud]

Alud, я Вам на эту реплику уже отвечал.

Вам пока что устное предупреждение за флейм.

Модератор.

Я  не  видел  ответа.

[VVS]

http://forum.drweb.com/index.php?showtopic=323301&page=2#entry791319

[ANK1]

Ну что, мне наконец расшифровали файлы специалисты Dr.WEB, спасибо.

 

Только смутил один момент - когда я первый раз создал тикет в ноябре прошлого года, то случайно по ошибке одновременно создал второй точно такой же тикет-копию (интернет глюкнул что-ли, не помню уже как так вышло).

Отвечали мне тогда по первому тикету, попытались расшифровать, не получилось, ответили что тикет закрываем, но мол не удаляем, и если что - в будущем с вами свяжемся. Собственно здесь выше в посте #30 и выложен этот ответ.  А на второй тикет-копию мне тогда даже не ответили, я решил что они сами как-то поняли что это одна и та же заявка и удалили второй тикет.

 

Однако три дня назад Dr.WEB ответил мне именно на тот второй созданный ошибочно тикет, извинились за задержку с ответом (почти 3 месяца задержка получается), и как и в первый раз по первому тикету попросили образцы зараженных файлов, ну только в этот раз уже успешно расшифровали.

 

Получается если бы я тогда случайно не создал второй тикет, то по первому закрытому тикету мне могли бы уже никогда и не ответить?

Сообщение было изменено ANK1: 18 Февраль 2016 - 11:24