1043 ответов в этой теме

[shraybikus]

по квалификации DrWeb это 398 шифратор.

Спасибо, хоть какая-то информация. А то сотрудники DrWeb молчат, видимо много бедолаг.

Теперь бы ещё какой-нибудь лекарство найти.

У меня есть письмо с вложением, которое было открыто. В нем rar-архив с файлом resume.scr. Могу его на виртуалке запустить, чтобы попытаться отловить хотя бы шифратор, правда опыта в этих делах маловато.

[pig]

Прикрепите его к вашему запросу в техподдержку.

[shraybikus]

Прикрепите его к вашему запросу в техподдержку.

Конечно, я прикрепил к запросу и само письмо, и файлы разных типов оригинальные и закриптованные. Также снял образ диска ghost-ом для опытов.

Осваиваю сейчас связку SandboxIE + BSA, но не хочется изобретать велосипед. Наверняка есть какие-либо наработки на эту тему.

[e630ht]

Здраствуйте не хочу плодить новые темы но извеняюсь сразу за идеотский вопрос можно ли расшифровать файлы посте -sos@ausi FG185- в т.п попросили лицензию а ее нет лицензию купить не проблема суть вопроса в том что есть лицензия на каспер на протижении 3 месяцев мозг выносили логами и т.п а под конец прислали чтото вроде с компом све нормально а файлы мы не можем расшифровать т.к нужна приватная часть ключа извенились и на этом все

[mike 1]

e630ht, не ленитесь читать 1 пост там вся нужная вам информация есть. 

[e630ht]

Я не ленюсь просто там нет моего расширения а покупать ешеодну лицензию както резона нет вот я и задою вопрос можно ли расшифровать хотябо фото или будет результат как и у касперсконо <Извените но нужна приватная часть ктюча>

[shraybikus]

Мдя... что-то SandboxIE + BSA оказались слабоватыми, либо я не умею их готовить. Анубис и то больше инфы выдал:

http://anubis.iseclab.org/?action=result&task_id=15a71bd4fd9afb1c43561a835bef6cbd8

Хрень первым делом пытается выкачать rar архив с шифровальщиком , под который генерит ключи при помощи CertMgr.exe. Параллельно для вида открывает "вложенный" pdf.

Ссылка уже дохлая...

Где же вы, лучшие умы из DrWeb??? Неужто я зазря прикупил лицензию?

Сообщение было изменено Denis Lipnicky: 30 Июнь 2014 - 22:42

[mike 1]

e630ht, вот я почему-то нашел информацию хотя мне это не нужно. А вы не смогли.  

 

Имеется полноценная расшифровка для следующих вариантов:

 

SOS@AUSI.COM_FGxxx, варианты FG80, FG82, FG84, FG110, FG112, FG116, FG119-120, FG122, FG137, FG148-149, FG153, FG157-158, FG178-179, FG197-198

 

 

Где же вы, лучшие умы из DrWeb?

Дам подсказку. В техподдержке DrWeb 

 

Хрень первым делом пытается выкачать rar архив с шифровальщиком

 

Сейчас придет злой модератор и скажет что размещать ссылки на форуме на вредоносное ПО нельзя. И будет прав т.к. вы фактически распространяете вредоносное ПО.

Сообщение было изменено mike 1: 30 Июнь 2014 - 21:03

[shraybikus]

Дам подсказку. В техподдержке DrWeb

Спасибо. Предлагаете ещё один запрос туда запулить?

Какое у них время реакции?

[e630ht]

e630ht, вот я почему-то нашел информацию хотя мне это не нужно. А вы не смогли.  
 

Имеется полноценная расшифровка для следующих вариантов:

 

SOS@AUSI.COM_FGxxx, варианты FG80, FG82, FG84, FG110, FG112, FG116, FG119-120, FG122, FG137, FG148-149, FG153, FG157-158, FG178-179, FG197-198

 

А если не секрет то где вы нашли в этом списке FG185? После 179 -197 стоит прогал значит для этих расширений нет дешифратора
 
 
Где же вы, лучшие умы из DrWeb?

Дам подсказку. В техподдержке DrWeb

[shraybikus]

А если не секрет то где вы нашли в этом списке FG185?

А нигде он и не нашёл. Наверно, это такой стиль ответов: ни о чём. Нельзя просто так взять и написать, что "решения нет". Надо обязательно потрахать мозги всяческими RTFM-ами, отправкой на ху. google, в шапку темы, в поиск по этому форуму, который не работает, но это совсем не важно, и пр.

Сообщение было изменено shraybikus: 30 Июнь 2014 - 21:14

[shraybikus]

размещать ссылки на форуме на вредоносное ПО нельзя. И будет прав т.к. вы фактически распространяете вредоносное ПО.

Ссылка-то издохла уже, вот в чём незадача. Наверно, под каждый конкретный случай заражения выделяется уникальная.

[mike 1]

 

 

Какое у них время реакции?

До 2 рабочих дней. 

[Filipp Rezvyi]

e630ht, у вас сам файл трояна сохранился? При наличии трояна будет дешифровка с вероятностью 99%.

 

shraybikus - у вас Trojan.Encoder.263 (just.pay@aol.com). Тот файл, который вы выкладывали - это загрузчик шифратора.

[shraybikus]

Trojan.Encoder.263 (just.pay@aol.com). Тот файл, который вы выкладывали - это загрузчик шифратора.

Да, я в курсе, но что делать дальше? Возможно ли как-то расшифровать зашифрованные файлы?

Поможет ли попытка вытащить с образа диска файл sert.cer?

[e630ht]

Самого файла нет эту пагубную затею не я наченал. Сначало поковырялись спецы из Каспера все что можно поудоляли и написали что все ок. Но мы неможем востоновить файлы без приватной части ключа и бла-бла -бла конечно было все написано красиво чуть не поэма а толку то нет . После пришли спецы которые такую хрень в день по 15 штук ломают пару дней поковырялись сожгли видюху репу почесали сказали что очень занеты взяли парочку файлов типа дома на мошьных компах вмиг все расшифруем и перезвоним через пару дней . Так вот суть вопроса что может остаться после таких спецов я конечно могу попробовать воскресить файл но я даже нозвания не знаю если поможет могу поковырятся но не факт что я чтото смогу найти

[e630ht]

А если не секрет то где вы нашли в этом списке FG185?

А нигде он и не нашёл. Наверно, это такой стиль ответов: ни о чём. Нельзя просто так взять и написать, что "решения нет". Надо обязательно потрахать мозги всяческими RTFM-ами, отправкой на ху. google, в шапку темы, в поиск по этому форуму, который не работает, но это совсем не важно, и пр.

Так суть то втом что он даже и не модератор или спец . Такойже пользователь который гдето чтото видел и сует сввой нос не туда куда надо конечно за помошь спасибо но зачем же людей вводит в заблуждение

[VVS]

e630ht, используйте при написании своих сообщений русский язык, ибо написанное на используемом Вами языке понимается с трудом.

IMHO такое коверканье русского языка является, как минимум, проявлением неуважения ко всем, читающим Ваши сообщения.

Модератор.

[e630ht]

e630ht, используйте при написании своих сообщений русский язык, ибо написанное на используемом Вами языке понимается с трудом.
IMHO такое коверканье русского языка является, как минимум, проявлением неуважения ко всем, читающим Ваши сообщения.
Модератор.

Извеняюсь просто за 3 месяца мозг уже весь сломали всякие <хакеры> которые счетают себя супер спецами и за определенную сумму могут все . Ивеняюсь просто на планшете нет буквы <ё> :-)

[Filipp Rezvyi]

Поможет ли попытка вытащить с образа диска файл sert.cer?

 

shraybikus, файлы, создаваемые загрузчиком (в частности sert.cer) ничем не помогут в расшифровке. Ранее вы писали, что обратились в тех. поддержку, там вам должны дать необходимые инструкции. Вообще надежды мало, потому что, скорее всего (я не видел ваших файлов), у вас шифрование RSA.

 

e630ht, без трояна расшифровки не будет, ищите троян.