6 ответов в этой теме

[v.martyanov]

Признаки заражения: Файлы зашифрованы, дополнительного расширения НЕТ. В конце зашифрованных файлов приписка "crypted". Создает файл flashlog.txt. Ставит на рабочий стол обои красного цвета с текстом на русском языке. Висит окошко с заголовком "Cryptolocker 2.0", текст в нем:

"Все Ваши важные файлы на этом компьютере были зашифрованы: фото, видео, документы и т.п. Вы можете убедиться в этом, нажав на кнопку "Зашифрованные файлы" и попробовав открыть их.
Чтобы расшифровать файлы, Вам нужно получить уникальный ключ RSA-4096, сгенерированный специально для этого компьютера.
Одна копия этого ключа, который поможет Вам расшифровать данные, хранится на секретном сервере в сети Интернет. Сервер удалит этот ключ через 72 часа. После этого никто и никогда не сможет восстановить Ваши файлы.
Чтобы получить ключ, необходимо заплатить 0.03 bitcoins.",

скриншот окошка  screen1.png   94,71К   2 Скачано раз

 

Информация по трояну: Trojan.Encoder.440, имеется как минимум 2 разновидности. Способы распространения неизвестны.

 

Криптография: Нечто, что раньше было IDEA, но перестало ей быть. Точно не RSA. Ключ довольно длинный и до сих пор не до конца ясно как формируется.

 

Расшифровка: Ранее считалась невозможной. Привлечение зарубежных специалистов позволило получить некоторые подсказки относительно возможных паролей, так что сейчас во многих случаях мы считаем ее возможной. Техподдержка обладает всем необходимым для расшифровки в большинстве случаев, то есть тулза уже вышла.

 

Что необходимо сделать:

- озаботиться информационной безопасностью ваших машин.

- обратиться с заявлением о совершенном преступлении в правоохранительные органы.

- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 зашифрованный doc-файл и flashlog.txt (если есть). Дожидаться ответа на Вашу почту сотрудника Dr.Web и далее следовать его указаниям.

 

Что НЕ нужно делать:

- удалять или модифицировать flashlog.txt
- использовать самостоятельно без консультации с сотрудниками Dr. Web любые программы для расшифровки/восстановления данных.

- Чистить или лечить машину чем либо: удалять/переименовывать какие-либо файлы, чистить почту, временные файлы и т.д.

Сообщение было изменено v.martyanov: 14 Март 2014 - 18:04

[RomaNNN]

Расшифровка: Ранее считалась невозможной. Привлечение зарубежных специалистов позволило получить некоторые подсказки относительно возможных паролей, так что сейчас во многих случаях мы считаем ее возможной. Работы по созданию утилит ведутся.

Это кто, британские ученые? Или какие-то независимые эксперты?

[v.martyanov]

 

Расшифровка: Ранее считалась невозможной. Привлечение зарубежных специалистов позволило получить некоторые подсказки относительно возможных паролей, так что сейчас во многих случаях мы считаем ее возможной. Работы по созданию утилит ведутся.

Это кто, британские ученые? Или какие-то независимые эксперты?

 

Иностранные специалисты ;-)

[RomaNNN]

Расшифровка: Ранее считалась невозможной. Привлечение зарубежных специалистов позволило получить некоторые подсказки относительно возможных паролей, так что сейчас во многих случаях мы считаем ее возможной. Работы по созданию утилит ведутся.

Это кто, британские ученые? Или какие-то независимые эксперты?

Иностранные специалисты ;-)

Это я прочитал Просто я думал может существует какое-то содружество компаний по борьбе с энкодерами.

[v.martyanov]

Содружества нет, насколько я знаю. Но тут нам повезло - хоть и не сразу, но нужные люди ответили.

[VVS]

dedulja.78, т.к. приписка не "crypted", а "ctbl", то Ваше сообщение не имеет к этой теме никакого отношения.

Поэтому оно удалено.

Модератор.

[v.martyanov]

ctbl - в http://forum.drweb.com/index.php?showtopic=318046