1248 ответов в этой теме

[v.martyanov]

Доброе время суток. А paycrypt@gmail.com действительно шифрует RSA-1024 и его невозможно расшифровать без ключа?

RSA точно, про длину ключа не скажу.

[Burovik99]

RSA точно, про длину ключа не скажу.

 

Т.е. в любом случае шансов на расшифровку нет? Придется заново все доки набивать А любом случае конечно хороший урок на будущее - резервное копирование рулит....

[v.martyanov]

Шансы есть всегда, но нужно либо бесконечное количество времени, либо денег.

[Burovik99]

Шансы есть всегда, но нужно либо бесконечное количество времени, либо денег.

 

Если бы информация была настолько ценна, я бы наверное заплатил 200-300 евро уродам, но не вижу смысла их поощрять.... На данный момент часть данных восстановил из резервных копий (надо бы почще делать ), небольшую часть удалось восстановить утилитой TestDisk из удаленных, временных и т.д. 

[mihelbr]

Привествую можете помочь с расшифровкой ?

все шифранутые файлы начинаюся с байтов 46 63 46 05 00 00 02 00 01 00 00 00 

дальше тело файла, зашифровано все, кроме больших файлов (больше 300мб)  

 

ну или скажите куда рыть

 

з.ы. т.к. это 1с то могу еще и эталон предоставить

Сообщение было изменено mihelbr: 03 Июль 2014 - 07:46

[VVS]

Привествую можете помочь с расшифровкой ?

Помогают только в ТП и только лицензионным пользователям.

[Maria74]

Здравствуйте, также 30 июня столкнулись с paycrypt.gmail.com. упомянули вверху. вроде в списке на первой странице не нашла похожего. Подскажите что  делать. Сделали что не надо -пробовали изменить расширение, вирусн программа аvg, нашла6 файлов , на столе появилось  2 файла -Paycrypt и keyprivate. Спасибо.

[SergM]

Maria74, Ну выше Вашего сообщения уже написано где помогают и кому помогают.

[Maria74]

выхода нет получается, удалить все файлы?  и комп рабочий . вроде почитала, что есть спасение. Они и посоветовали на форум. Скачала  Dr.Web CureIt!,, теперь не пойму использовать ее?

[SergM]

Скачала  Dr.Web CureIt!,, теперь не пойму использовать ее?

 

 

Итак, у тебя зашифровались файлы. Не беда! Во многих случаях все можно вернуть как было, а ты получишь ценный урок!

 

Что надо делать:

— Отключить машину от интернета. Физически, путем выдергивания соответствующего шнура. Многие трояны неспособны шифровать данные без сети или при ее отсутствии сохраняют пароль локально.

— Определить, шифруются ли файлы в данный момент. Например, изначально вы заметили, что зашифрованы документы, но музыка в порядке. Потом и музыка стала зашифрована. Такое поведение – признак того, что файлы шифруются в данный момент. Если вы не уверены – лучше считайте, что они шифруются в данный момент.

— Если файлы шифруются в данный момент – машину надо немедленно выключить по питанию путем выдергивания сетевого шнура. Это спасет хоть какую-то часть данных, а перспективы работы с "живой" машиной туманны.

— Прочитать этот пост ЦЕЛИКОМ и ВНИМАТЕЛЬНО (!!!). На данный момент порча новых данных уже не происходит и можно начинать их восстановление, для чего вам нужно понимать, что делать и чего не делать

— Прочитать http://drw.sh/reg и попытаться найти там признаки именно своего трояна. Нашли – вам в соответствующую тему, причем обязательно прочитайте первый пост из нее. Если по ссылке вашего варианта нет – обращайтесь в техподдержку через http://drw.sh/reh. Можете написать в эту тему, указать признаки заражения. Никаких файлов прикреплять не надо!!! На форуме давать рекомендации по расшифровке не будут, учитывайте это!

 

Что делать не надо:

Каждое действие из приведенного ниже списка может окончательно избавить вас от ваших очень ценных файлов. Даже если эти действия кажутся вам правильными, необходимыми, вам их посоветовали знающие люди. Тем более, что без большинства из них можно прекрасно обойтись!

—  Включать выключенную из-за продолжающегося шифрования машину. Шифрование наверняка снова продолжится Если вам нужны с нее данные – есть LiveCD, например. Или можно подключить накопитель к другой машине. Не уверены в своих силах? Отдайте специалисту, предварительно дав ему прочитать этот пост.

—  Переставлять систему. Данные от этого не вернутся, а потерять их, как раз, легко. Более того, переустановка затирает следы трояна и во многих случаях это верный путь попрощаться с данными навсегда.

—  Что-либо удалять, чистить, оптимизировать в системе. См. предыдущий пункт.

—  Сканировать машину антивирусами. Ну, найдете вы трояна, и что? Данные от этого не вернутся. И от удаления трояна – не вернутся. См. предыдущий пункт.

—  Пытаться самостоятельно что-то сделать с файлами, например, переименовать их. Поверьте, у нас работают специалисты, а вы, ваш знакомый Вася или безвестная Маша Козявкина с какого-то форума вряд ли 4 с лишним года занимаются расшифровкой данных после троянов.

 

Что важно знать:

— Услуги помощи при шифровании данных предоставляются зарегистрированным пользователям Dr.Web.

—  Услуги помощи не гарантируют результат. Мы не всесильны. Есть настолько стойкие криптосистемы, что мы не сможем их вскрыть за три, к примеру, месяца. Или за 300 лет. Или даже не знаем, как подойти к проблеме. Всякое бывает. Но, если вы к нам обращаетесь, – мы посмотрим, что можно сделать. Шансы на успех мы не скрываем, дальше решать вам.

—  Я могу ошибаться. Увы, все могут. То, что я сегодня считаю невскрываемым, через месяц может оказаться проще пареной репы. И наоборот.

—  Вероятно, придется ждать. От пары часов до бесконечности. Ждать ответа, ждать создания программы для расшифровки, ждать подбора пароля... Много чего. У нас имеется система назначения меток заявкам, и обычно они не теряются. Если решение появляется – я извещаю об этом в вирлабовских тикетах.

http://forum.drweb.com/index.php?showtopic=315563

 

 

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.

[AnrDaemon]

Кстати, на страничке http://legal.drweb.com/templates?lng=ru ссылка "Порядок приема сообщений о происшествии в органах внутренних дел РФ" ведёт фактически вникуда - на главную страницу постала госуслуг.

[voltim]

Добрый день!Поймал шифровальщик paycrypt@gmail.com !зашифровались файлы!оплатил !прислали файл UNCRYPT.KEY!но я немогу расшифовать,первый раз запустилось,комп не выключал всю ночь ,но на утро ничего не расшифровалось!запускал ещё пару раз,но больше файл не запускался!Подскажите ,что дальше делать? Хакеры не отвечают(

[SergM]

voltim, Прочитайте самое первое сообщение этой темы. Или поднимите глаза на пару сообщений выше. Там есть вся информация. Или Вы считаете, что лично к Вам будет другой подход?

[VVS]

Fart123, Ваше сообщение скрыл, т.к. этот дешифратор может (наверно) кому-то помочь, а кому-то и навредить.

Дешифратор передан аналитикам.

Модератор.

[Fart123]

Fart123, Ваше сообщение скрыл, т.к. этот дешифратор может (наверно) кому-то помочь, а кому-то и навредить.

Дешифратор передан аналитикам.

Модератор.

Обязательно сообщите результаты аналитики. Если не пройдет выложу на других форумах, т.к. кол-во пострадавших людей с ID BOBIK большое. Хотелось бы помочь людям

[SergM]

Хотелось бы помочь людям

Хотелось бы, чтобы это была действенная помощь, а не действенный вред. И очень бы не хотелось причастности нашего форума к возможному вреду другим пользователям.

[thyrex]

Обязательно сообщите результаты аналитики

Ключ дешифровки добавлен в утилиту

[Fart123]

В какую утилиту?

[mike 1]

В какую утилиту?

В один из дешифраторов от DrWeb. 

[Fart123]

Очень и очень смешно! Когда пытался воспользоваться предоставленной Др.вэбом утилитой которая толком не восстанавливала файлы, да и не получалось ее запустить, в тех.поддержке тактично послали куда подальше. После того как вчера я выложил здесь дешифратор купленный мною, здесь написали что скрыли мое сообщение так этот дешифратор может навредить пользователям. И теперь внимание, утром получаю сообщение от тех поддержки что у них есть ключ для расшифровки моих файлов!!! Круто!!! Конечно такого я не ожидал от вас. Я уже на протяжении нескольких лет покупаю лицензию Д.вэба (не на один десяток компов в своей фирме), после того как подхватил вирус тех.поддержка вэба мне помочь не смогла. Хотя антивирусник по сути должен защищать мой комп от вирусов.  Пришлось отдать 5000 руб. за дешифратор. Выложил его здесь чтобы помочь другим пользователям, и может как-то компенсировать расходы. А вы ребята засунули его в свою утилиту (т.е. легко присвоили купленный мною дешифратор как свои заслуги). И даже не удосужились сказать спасибо! Удачи вашей фирме "Ветиринар Вэба" Раз ваша компания занимается антивирусной защитой компьютеров, Вы должны были купить сами этот дешифратор, и любезно предоставить его своим пользователям.