419 ответов в этой теме

[Dmitry_rus]

От переустановки ОС зашифрованные файлы не превратятся в расшифрованные... Ну сам шифровщик, очевидно, будет уничтожен. Но он уже свою работу сделал, так что это слабое утешение. Впрочем, если ничего ценного нет - можно и переустановить.

[Михайло]

Спасибо огромное

[stracio]

Если именно такая зараза, то думаю, что поможет, но перед чистой установкой все разделы диска нужно объединить в одну партицию и заново разделить под систему с предварительным форматированием.

Сообщение было изменено stracio: 11 Октябрь 2014 - 06:34

[v.martyanov]

Если именно такая зараза, то думаю, что поможет, но перед чистой установкой все разделы диска нужно объединить в одну партицию и заново разделить под систему с предварительным форматированием.

Ну да, грохнуть раздели и создать заново - годный вариант для уничтожения всего. Написал в личку - есть пара вопросов. Если не сложно - ответьте.

[serjik]

Не вам это говорить: вы за два месяца даже не попытались что-то узнать о том, в чем сейчас считаете себя "экспертом" и выносите такие вердикты.

я не эксперт и не считаю им себя, я простой пользователь лицензионного антивируса который ждет результата работы разработчиков по устранению возникшей проблемы. Видимо зря жду, техподдержка по прежнему разводит руками отвечая на запрос своей коронной фразой: . Работы ведутся, однако, каких-либо прогнозов пока нет. . Поэтому и говорю так что вирусописатель данного вируса положил разработчиков антивирусов на лопатки. 

 

В данном случае бесполезно спорить и ждать каких либо результатов, все зашифрованные файлы пришлось удалить.

[stracio]

 

Не вам это говорить: вы за два месяца даже не попытались что-то узнать о том, в чем сейчас считаете себя "экспертом" и выносите такие вердикты.

я не эксперт и не считаю им себя, я простой пользователь лицензионного антивируса который ждет результата работы разработчиков по устранению возникшей проблемы. Видимо зря жду, техподдержка по прежнему разводит руками отвечая на запрос своей коронной фразой: . Работы ведутся, однако, каких-либо прогнозов пока нет. . Поэтому и говорю так что вирусописатель данного вируса положил разработчиков антивирусов на лопатки. 

 

В данном случае бесполезно спорить и ждать каких либо результатов, все зашифрованные файлы пришлось удалить.

 

Зря удалил(

[stracio]

А самое интересное это то, что в описании трояна есть решение)

"

Trojan.Encoder.741 Добавлен в вирусную базу Dr.Web: 2014-08-07 Описание добавлено: 2014-08-11

Троянская программа, шифрующая файлы на компьютерах пользователей и требующая деньги за их расшифровку. Написана на Delphi, упакована Armadillo, распространяется с 07.08.2014. Использует алгоритм шифрования AES-128, в качестве ключа троянец берет первые 16 байт данных, полученных с сервера. Пересылает удаленному серверу POST-запрос вида number=128&&id=1234567890&pc=SUPERCOMP&tail=.id-1234567890_decrypt@india.com, в ответ получает текстовые данные."

Все, что нужно сделать - это подставить свои данные в POST-запрос и послать его через php на сервер трояна: www.*********.com (PHP - /******/script.php) и получить в ответ текстовые данные, которые и есть ключ (пароль) к дешифровке их дешифратором, который присылают на почту при обращении.

Под звездочками сервера могут быть разные, указать именно те, на которые идет отсылка. (Wireshark в помощь)

[v.martyanov]

Не все так просто, разные ответы для одинаковых данных отдаются. Так что либо вы криво проверяли, либо...

[stracio]

Не все так просто, разные ответы для одинаковых данных отдаются. Так что либо вы криво проверяли, либо...

Пробовал, всегда расшифровывались файлы. А с подстановкой не пробовал, т.к. не могу припарировать сам троян.

[v.martyanov]

Вы перехватываете траффик и получаете реальный ключ, но без перехвата у вас не будет ключа. Соответственно, перехватить траффик который шел от сервера к трояну 10.09.2014 в принципе УЖЕ невозможно.

[Drozofila]

Добрый дечер.
Не могу скачать расшифровщик te225decrypt.exe.
Ссылка не работает.
Или он уже не актуален?
Как быть?
Что делать? Подскажите.
 
Прибавляет расширения .id-7131408678_decrypt@india

Сообщение было изменено VVS: 14 Октябрь 2014 - 21:57
Ссылка на дешифровщик убрана.

[VVS]

Добрый дечер.
Не могу скачать расшифровщик te225decrypt.exe.
Ссылка не работает.
Или он уже не актуален?
Как быть?
Что делать? Подскажите.

Оформить запрос на https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1
При этом учесть, услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web.

Сообщение было изменено VVS: 14 Октябрь 2014 - 21:57

[Drozofila]

Добрый дечер.
Не могу скачать расшифровщик te225decrypt.exe.
Ссылка не работает.
Или он уже не актуален?
Как быть?
Что делать? Подскажите.

Оформить запрос на https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1
При этом учесть, услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web.

Запрос оформил.
Лицензия есть.
Пришел ответ - скачать эту прогу и так далее.
Так вот я эту прогу даже скачать не могу - ссылка битая(((

Сообщение было изменено VVS: 14 Октябрь 2014 - 21:57

[VVS]

Только что скачал по Вашей ссылке.

[Drozofila]

Не понимаю(
Пишет, что

По этому адресу страницы нет. Найдите другую страницу в интернете:
Можете указать свой почтовый ящик? Скину скриншот.
Мистика(((
 

Только что скачал по Вашей ссылке.

[VVS]

Скиньте мне в личку Ваш тикет.
Если всё корректно, то я Вам в личку отправлю этот файл.

[stracio]

 

Добрый дечер.
Не могу скачать расшифровщик te225decrypt.exe.
Ссылка не работает.
Или он уже не актуален?
Как быть?
Что делать? Подскажите.

Оформить запрос на https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1
При этом учесть, услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web.

 

Вроде как дешифровка этого трояна пока не поддается. Или уже есть решение?

[v.martyanov]

Вроде как поддается в некоторых случаях.

[kaktusgarden]

Здравствуйте! Стали жертвой этого чудо трояна. В итоге решил использовать хитрость и попробовать договориться с ними.

Решил написать им письмо. Все, в письме выдуманное!!!

 

Пишу я:

"Здравствуйте! Меня зовут Валентина Пономарева. Я руководитель общественной, некоммерческой организации для детей сирот. Как я понимаю, только с Вашей помощью мы можем восстановить фотографии наших детей из фотоальбома, на единственном компьютере. Это единственные фотографии наших деток. Помогите пожалуйста! С недавнего времени мы не смогли открыть фотографии. Немного почитав в интернете нашли Вашу почту. Поэтому просим Вас помочь! Пожалуйста, верните нам возможность увидеть фотографии наших деток!

Спасибо!"

 

В ответ приходит от Piter Pen decrypt@india.com:
"св-о о регистрации скиньте и пару зашифрованных фоток детей,дешифратор получите даром..если не врете,если врете накажем..."

 

(Подумал, что раз уж ребята такие умные и решительные, пойду дальше...)

 

Пишу я:

"Вы и так нас уже наказали! Мы отдали компьютер в ремонт, в надежде, что либо восстановить... но там сказали, что это вирус и необходимо написать вам какой то аиди...

Я не понимаю как это работает... фотографии открыть они не могут... прислали только фотографии папки с документами и этот аиди. 3447623680

Они сказали что нужно платить Вам...иначе Вы удалите все наши документы и фото

Пожалуйста, будьте людьми....помогите нам!"

В ответ приходит от Piter Pen decrypt@india.com:

"Выполните следующее: отключите антивирус это важно ,запустите дешифратор ,в поле id введите (пример:  .id-1234567890_decrypt@india.com) ,с точкой перед id , в поле pass , введите пароль,очень важно не ошибитесь при вводе пароля иначе все файлы испортятся,  выберите путь ,нажмите ОК.При большом объеме информации ,иногда расшифровывает долго ,ждите до упора (дешифратор исчезнет) Может проявится эффект зависания программы ,это нормально. Дешифровка происходит в тихом режиме , не надо многократно нажимать и запускать дешифратор ,покурите ,выпейте чашечку кофе. 

 

***************************************************************************************************************

Очень важно ! Если вы пытались дешифровать утилитой от касперского и он якобы дешифровал, создав файл рядом с зашифрованным (на самом деле пустышку) вам нужно удалить все файлы созданные касперским , оставив только зашифрованные файлы. В ином случае, наш дешифратор, может вместо дешифра повредит файлы без восстановления. Если у вас зашифрована

 

Бывают глюки с docx  xlsx  файлами ,при открытии жмите ок и сохраните под новым именем.

 

Если шифрануло бызы 1С ,то ,обязательно сделайте бэкап зашифрованных баз на флэшку простым копированием , извлеките её из компа,если DBF не имеет расширения как у зашифрованного файла ,добавьте это расширение ко всем DBF  (в 1с8  к 1CD) ,если наоборот  .в папке базы два одинаковых файла но один с расширением шифратора ,удалить пустой  (к примеру в папке базы находятся два файла 1SACCS.DBF.mail@yahoo.com  и 1SACCS.DBF ,необходимо удалить 1SACCS.DBF и оставить только 1SACCS.DBF.mail@yahoo.com) и только тогда дешифровать.

 

***************************************************************************************************************

Архив под паролем,пароль 123

 

Если шифрование произошло на сетевых дисках и расшаренных ресурсах ,а вы отключили их ,обязательно включите их.

 

О безопасности.Поставьте AVIRA FREE или полную версию Avira internet security   - труднопроходимая защита.Всё остальное понос бегемота.Пользуйтесь только  Гугл хром.Так же рекомендуем после дешифрации переустановить операционную систему ."

 

 

ИТОГО

 

Во вложении был архив DE.rar. В архиве лежит два файла. Дешифратор и инструкция. В инструкции есть мой ID и есть пароль, который походу сгенерировали ребята. 

Забил в программу ID и пароль. Выбрал папку с фотографиями JPG. 

Программа расшифровала. Фото восстановлены.

Могу предоставить дешифратор, который прислали мне для анализа. Может что найдете.

 

[v.martyanov]

В дешифраторе нет ничего ценного, ценен (относительно) только сам пароль.