Newbie
Отправлено 26 Март 2015 - 23:03
На винчестере нашел файлы, созданные в период запуска вируса.
secring.gpg если ненулевой, то ставьте виндовую версию GPG и читайте там справку.
https://www.gnupg.org/faq/gnupg-faq.html
Как импортировать ключ? И какой командой затем расшифровать файл.
please see http://www.gnupg.org/download/iconv.htmlfor more information
Сообщение было изменено username500: 26 Март 2015 - 23:08
Newbie
Отправлено 26 Март 2015 - 23:32
secring.gpg если ненулевой, то ставьте виндовую версию GPG и читайте там справку.
Нулевой =(
Newbie
Отправлено 26 Март 2015 - 23:54
Я в опытах на виртуальной машине смог 1 раз из 3-х вовремя остановить процесс.
Тогда декодировка сводится к установке безплатной графич. программы (а я сначала в командной строке плюхался как дурак), импорту ключей из файла secring и всё распаковывается обратно без личного кабинета хакеров.
У пострадавших знакомых так не получилось, хоть и шифрование прерывалось на полпути, но файл ключей уже был затёрт.
GPG_ex.png 22,62К
10 Скачано раз
Newbie
Отправлено 27 Март 2015 - 01:34
Я в опытах на виртуальной машине смог 1 раз из 3-х вовремя остановить процесс.
Тогда декодировка сводится к установке безплатной графич. программы (а я сначала в командной строке плюхался как дурак), импорту ключей из файла secring и всё распаковывается обратно без личного кабинета хакеров.
У пострадавших знакомых так не получилось, хоть и шифрование прерывалось на полпути, но файл ключей уже был затёрт.
не расскажите как из файла secring ключи импортировать ? он у меня не нулевой ...
Newbie
Отправлено 27 Март 2015 - 02:30
импортирую ключ из файла secring.gpg размером 691 байт и вот что говорит прога
Безымянный454325.JPG 70,22К
16 Скачано раз
Newbie
Отправлено 27 Март 2015 - 02:46
Ключ уже есть в базе, вот и не импортируется. Раз он жёлтый, значит полный.
Пробуйте в проводнике декодировать файлы.
Может этому ключу надо ещё доверие поднять (правой кнопкой на ключе - set owner trust - нижняя галка).
Готовый поточный декодер тут выкладывался раньше (чтоб вручную не возиться).
Это dec.exe, из него выходит многое, в том числе sec.key, который можно подменить на свой, экспортировав из базы ключей gpg.
Newbie
Отправлено 27 Март 2015 - 02:58
Ключ уже есть в базе, вот и не импортируется. Раз он жёлтый, значит полный.
Пробуйте в проводнике декодировать файлы.
Может этому ключу надо ещё доверие поднять (правой кнопкой на ключе - set owner trust - нижняя галка).
Готовый поточный декодер тут выкладывался раньше (чтоб вручную не возиться).
Это dec.exe, из него выходит многое, в том числе sec.key, который можно подменить на свой, экспортировав из базы ключей gpg.
да, есть у меня dec.exe, только как заменить sec.key, он же все на автомате делает, распаковывает в temp и понеслось. Почему у вас так много ключей добавлено, а у меня всего 2 ?
Newbie
Отправлено 27 Март 2015 - 02:59
http://forum.drweb.com/index.php?showtopic=320137&page=11#entry756710- вот декодер, чуть ниже по форуму пароль, чтоб его распаковать и подменить ключик своим (чудом уцелевшим).
ключей много потому, что я чужие vault.key собирал на 3х форумах для опытов.
и лазил по личным кабинетам пострадавших.
Сообщение было изменено username500: 27 Март 2015 - 03:00
Newbie
Отправлено 27 Март 2015 - 03:12
Когда доверие желтым ключам сделал, серые размножились почему-то.
Дарю, но толку с них мало, каждый жёлтый только для одного запуска вируса годится.
gpg_keys_trusted.png 26,85К
15 Скачано раз
secring.gpg.7z 3,62К
40 Скачано раз
Newbie
Отправлено 27 Март 2015 - 03:22
Когда доверие желтым ключам сделал, серые размножились почему-то.
Дарю, но толку с них мало, каждый жёлтый только для одного запуска вируса годится.
Попробовал удалить все ключи, а у меня их всего два и заново из файла secring.gpg и pubring.gpg добавил, получились теже самые ключики, доверие да, пробую декодировать но пишет
Безымянныйtrvtgstg.JPG 34,14К
6 Скачано раз
Member
Отправлено 27 Март 2015 - 05:50
пробуйте еще этот менеджер ключей использовать.
gpgshell
http://www.jumaros.de/rsoft/index.html
правда, проверял его в работе с GnuPG 1.4.10-1.4.19, как со второй версией GnuPG работает - не проверял.
имхо, лучший менеджер ключей.
Newbie
Отправлено 27 Март 2015 - 07:16
Так, можно вопрос знатокам ?
Я смотрю эта зараза гуляет минимум с 12 февраля. Итого полтора месяца уже.
И представляет собой cmd-файл и gpg, запакованный upx. Правильно понял ?
А что нельзя было gpg внести в список опасных программ, как Ammy или Radmin ? Кому надо - тот разрешит. В чём проблема ?!
по факту - 24 числа эта зараза выполнилась на 1 компе.
Через месяц заканчивается ключ.... Все задаются вопросом "что делать?"....
Сообщение было изменено Дмитрий-Я: 27 Март 2015 - 07:20
Newbie
Отправлено 27 Март 2015 - 07:17
Не сочтите за назойливость, но, может быть, кто-то ответит, как происходит процедура дешифровки при получении помощи от компании? Комп не мой и сказать человеку, чтобы он купил продукт Вэба, не имея представления, насколько ему это поможет, как-то некрасиво.
Newbie
Отправлено 27 Март 2015 - 07:24
как происходит процедура дешифровки при получении помощи от компании?
помощь для его дешифровки может дать только компания тех, кто трояна этого написала. помощь возмездную, за биткоины.
помощь Вэба в данной ветке пока полицаи не найдут злодеев, сводится к следующему:
бэкапы и только бэкапы!
сказать человеку, чтобы он купил продукт Вэба, не имея представления
Скажите ему просто: "Вэбер теперь совместим с 1С". 
Поржёте вместе хоть.
Сообщение было изменено Дмитрий-Я: 27 Март 2015 - 07:28
Newbie
Отправлено 27 Март 2015 - 07:27
как происходит процедура дешифровки при получении помощи от компании?помощь для его дешифровки может дать только компания тех, кто трояна этого написала. помощь возмездную, за биткоины.
Вэб предоставляет помощь в расшифровке тем, у кого установлен лицензионный продукт Вэба. По крайней мере, так написано.
Newbie
Отправлено 27 Март 2015 - 07:31
Я вроде всю тему прочитал, не заметил такой надписи.
Видел только то, что подобрать ключ в обозримом будущем не представляется возможным. Разве что задействовать ЦОД из квантовых компьютеров.
вот в соседней теме:
Та же беда. Ответ техподдержки:
"Здравствуйте.
К сожалению, в данном случае расшифровка не в наших силах.
Собственно шифрование файлов выполнено общедоступным легитимным криптографическим ПО GPG (GnuPG)
Криптосхема на базе RSA-1024.
Подбор ключа расшифровки, к сожалению, невозможен.
Если мы когда-нибудь всё-же получим какую-либо практически полезную для расшифровки ваших файлов информацию, мы вам сообщим.
Основная рекомендация:
обратитесь с заявлением в территориальное управление "К" МВД РФ;
по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.
Образцы заявлений, а также ссылка на госпортал ("Порядок приема сообщений о происшествии в органах внутренних дел РФ") есть на нашем сайте: http://legal.drweb.com/templates
Поскольку это RSA-1024, без содействия со стороны автора/хозяина троянца - вольного или невольного (арест соотв. людей правоохранительными органами) -
расшифровка не представляется практически возможной".
Сообщение было изменено Дмитрий-Я: 27 Март 2015 - 07:35
Newbie
Отправлено 27 Март 2015 - 08:02
Я вроде всю тему прочитал, не заметил такой надписи.
На сайте компании, в разделе поддержки есть такое объявление. Правда там ниже упоминается Троян Энкодер, но судя по всему особой разницы с vault нет.
"В связи с огромным наплывом запросов от пользователей других антивирусных продуктов, с 19 июня 2013 г. служба поддержки «Доктор Веб» оказывает бесплатные услуги по расшифровке только владельцам коммерческих лицензий Dr.Web Security Space (от 12 мес.) и Dr.Web Enterprise Security Suite (от 6 мес.)."
The Master
Отправлено 27 Март 2015 - 08:06
Я вроде всю тему прочитал, не заметил такой надписи.
На сайте компании, в разделе поддержки есть такое объявление. Правда там ниже упоминается Троян Энкодер, но судя по всему особой разницы с vault нет.
"В связи с огромным наплывом запросов от пользователей других антивирусных продуктов, с 19 июня 2013 г. служба поддержки «Доктор Веб» оказывает бесплатные услуги по расшифровке только владельцам коммерческих лицензий Dr.Web Security Space (от 12 мес.) и Dr.Web Enterprise Security Suite (от 6 мес.)."
Там чуть ниже написано: "ВНИМАНИЕ! В ряде случаев отсутствует гарантия полностью расшифровать данные."
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Newbie
Отправлено 27 Март 2015 - 08:15
Какой посоветуете вариант защиты от запуска GPG вообще ?
(секретарь, бухгалтер - они там разбираться ведь не будут, сами знаете как там с юзер-квалификацией порой...)
Member
Отправлено 27 Март 2015 - 08:53
Какой посоветуете вариант защиты от запуска GPG вообще ?
(секретарь, бухгалтер - они там разбираться ведь не будут, сами знаете как там с юзер-квалификацией порой...)
1. запретите локальными политиками, или с помощью HIPS создание файлов secring.gpg, pubring.gpg в %temp% юзера
2. запретите локальными политиками запуск js из архивов 7z,zip,rar
3. или наоборот, добавьте pubring.gpg из известной ключевой пары в %temp% юзера, и защитите ключ от перезаписи.
(если шифрование произойдет, то произойдет оно известным ключом, и будет потом чем расшифровать.)
0 пользователей, 1 гостей, 0 скрытых
Community Forum Software by IP.Board
Владелец лицензии: Doctor Web, Ltd.
Тема закрыта