Перейти к содержимому


Фото
* * * * * 6 Голосов

Зашифрованы файлы. Что делать?

Автор v.martyanov , окт 17 2013 11:43

  • Закрыто Тема закрыта
1248 ответов в этой теме

#761 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 08 Март 2015 - 17:24

добрый день.

 

первый пост рекомендует идентифицировать тип трояна.

вопрос: как идентифицировать вирус, если есть только оригинальное письмо с .js файлом, с которого началось заражение?

"мопед" не мой, и у себя я, понятное дело, вирус на выполнение не запускал, так, почитал код, поматюкался

текст вируса сюда постить, чую, страшный моветон :)

 

зараженный комп временно недоступен, а письмецо осталось на почтовом сервере и было переслано мне.

что можно сделать, имея на руках текст вируса?

 

отправить в вирлаб..от-туда достанут малварь(только в каментах напишите)....лучше запрос на лечение


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#762 Denkot

Denkot

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 09 Март 2015 - 05:05

отправить в вирлаб..от-туда достанут малварь

вирлаб это где? это ветка форума? а по е-майлу это можно сделать?


#763 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 09 Март 2015 - 08:05

 

отправить в вирлаб..от-туда достанут малварь

вирлаб это где? это ветка форума? а по е-майлу это можно сделать?

 

https://vms.drweb.com/sendvirus/?lng=ru


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#764 Oleg A

Oleg A

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 11 Март 2015 - 10:00

Запустил с почты себе шифровщик -просят зайти на

http://restoredz4xpmuqr.onion

Скрипт переименовал файлы Офиса,pdf,jpg.

Можете помочь расшифровать?


#765 maxic

maxic

    Keep yourself alive

  • Moderators
  • 13 080 Сообщений:

Отправлено 11 Март 2015 - 10:27

Oleg A, в техподдержке все скажут. При наличии лицензии.


#766 Oleg A

Oleg A

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 11 Март 2015 - 13:36

сначала купить лицензию надо что-ли?


#767 VVS

VVS

    The Master

  • Moderators
  • 19 860 Сообщений:

Отправлено 11 Март 2015 - 13:40

Именно так.


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid

#768 Oleg A

Oleg A

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 11 Март 2015 - 14:26

где купить?


#769 mike 1

mike 1

    Advanced Member

  • Posters
  • 823 Сообщений:

Отправлено 11 Март 2015 - 15:49

где купить?

http://estore.drweb.ru/home/


Глубина - глубина, я не твой отпусти меня, глубина

#770 lionmad

lionmad

    Member

  • Posters
  • 197 Сообщений:

Отправлено 11 Март 2015 - 19:15

сначала купить лицензию надо что-ли?

 

Да сначала купить требуется лицензию. И понимать, что нет 100% гарантии, что Ваш случай расшифровать получиться. Это Вам смогут сказать только в техподдержке. Вот такой замкнутый круг. Но есть и хорошая новость у Вас будет неплохой антивирус.


Сообщение было изменено lionmad: 11 Март 2015 - 19:16

#771 Mr.Snipfold

Mr.Snipfold

    Member

  • Posters
  • 196 Сообщений:

Отправлено 12 Март 2015 - 12:46

Добрый день.

На ноуте словили шифровальщика, который зашифровал весь медиаконтент и переименовал файлы на расширение .xtbl, и который в корне несистемного диска оставил 10 штук ридми следующего содержания:


"Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
47F18815B4BB558FA568|0
на электронный адрес decoder1112@gmail.com или deshifrovka@india.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
47F18815B4BB558FA568|0
to e-mail address decoder1112@gmail.com or deshifrovka@india.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data."

 

 

Есть ли шанс расшифровать медиаконтент ???

На каспере говорят что шансов - 0 , это так на самом деле ?


Сообщение было изменено Mr.Snipfold: 12 Март 2015 - 12:47

#772 VVS

VVS

    The Master

  • Moderators
  • 19 860 Сообщений:

Отправлено 12 Март 2015 - 12:48

На каспере говорят что шансов - 0 , это так на самом деле ?

В настоящее время именно так.


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid

#773 Mr.Snipfold

Mr.Snipfold

    Member

  • Posters
  • 196 Сообщений:

Отправлено 12 Март 2015 - 12:51

 

В настоящее время именно так.

 

А по какой причине ?

В файлах мусор или ключ рандомный.

Если не мусор и пошифровано, то какой алгоритм - симметричный или ассиметричный ???


#774 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 12 Март 2015 - 12:55

AES там, если ничего не путаю. Скорее всего AES-256


Личный сайт по Энкодерам - http://vmartyanov.ru/

#775 Mr.Snipfold

Mr.Snipfold

    Member

  • Posters
  • 196 Сообщений:

Отправлено 12 Март 2015 - 14:20

По логике, если авторы шифровируса просят код на decoder1112@gmail.com то скорее всего шифровирусом были предприняты попытки отправить ключ злоумышленникам, но если эту лавочку прикрыли, то ключ (допустим он рандомный) уходит в никуда, и тогда шансов точно ноль.

А что если эти адреса оставить в живых, хотя-бы для того чтобы ключи расшифровки не пропадали и делать просто перехват ?

Вообще, кто-нибудь отправлял код на указанные адреса, интересно, что приходит в ответ ???

Или эти адреса уже прибили ?


#776 fortunandy2006

fortunandy2006

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 12 Март 2015 - 14:31

файл не крепится


#777 maxic

maxic

    Keep yourself alive

  • Moderators
  • 13 080 Сообщений:

Отправлено 12 Март 2015 - 14:34

fortunandy2006, какой файл? Вы о чем? Или путаете форум с техподдержкой?


#778 Oleg A

Oleg A

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 12 Март 2015 - 15:29

По ходу с этими дешифраторами - остается одно, что в БУДУЩЕМ разработают алгоритмы

для их расшифровки, т.е есть надежда файлы сохранить а через лет 10-20 дать сынуле

в качестве домашнего задания расшифровать папины файлы......


#779 Mr.Snipfold

Mr.Snipfold

    Member

  • Posters
  • 196 Сообщений:

Отправлено 12 Март 2015 - 17:29

Вот, нашел на этом форуме:

 

http://forum.orenfishing.ru/viewtopic.php?t=5381&postdays=0&postorder=asc&start=15

 

Админ говорит что требуют 5000 руб за одно файло, и таки расшифровывают, значит шанс есть .... поймать мошенников и отобрать дешифратор.


#780 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 12 Март 2015 - 17:30

Поймайте, отберите, выложите в открытый доступ. Проблем-то? В принципе, написать расшифровщик несложно, только ключей не будет :-D


Личный сайт по Энкодерам - http://vmartyanov.ru/

Назад к Помощь по лечению
  1. Dr.Web forum
  2. Русские форумы
  3. Антивирусная лаборатория
  4. Помощь по лечению
  5. Privacy Policy
  6. Terms & Rules ·