1248 ответов в этой теме

[v.martyanov]

Ну если 1214 - возможно будет расшифровка.

[fillip]

Еле-еле нашел место где есть помощь.
Каспер намекает что тут помогут но на пальцах.
Гугл ссылок не дает. Все пострадавшие от вируса не знают куда деваться.
Для индексации нет подробностей.
 

Клиент подцепил шифровальщик

Trojan.Encoder.1214

или Trojan-Ransom.win32.Crypren.vlz (название конкурента)

 

все файлы кроме занятых систменых и всех DLL шифруются (как сказано RC4)

получают дополнительное расширение

.-.DIRECTORAT1C8@GMAIL.COM.roto

предположительно есть письмо с текстом вымогательства, но я не нашел.

на рабочем столе был обнаружен Tool.Passsteel20 в файле nt.exe

и данный шифровальщик в файлах sng.exe в нескольких местах.

также во временных папках пользователя был kWquPlgR.exe с такимже содержимым

размер файла 12800 байт

зашифровано все включая файлы расположения иконок.

пустой autoexec.bat увеличился до 1274 байта

пустой config.sys увеличился до 1260 байтов.

после просмотра содержимого винчестера стало ясно что после кражи пароля от удаленного входа по 3389 RDP был удаленный вход злоумышленника закачавшего тело вируса.
складывается впечатление что между записью шифровальщика и окончанием процесса шифрования прошло около недели. Шифровальщик был активирован удаленно при переходе компьютера в режим легкого ожидания когда пользователи отошли. Шифровка происходила с очень большой скоростью (может просто переименовывались заранее зашифрованные файлы)
Есть подозрения что крадец паролей был получен с расширением хрома ... (неточно)
Узнал что у вас есть расшифровщик. Напишите пожалуйста подробности получения, для тех у кого нет лицензии (можно на почту)

[jasme]

Лицензию взяли, запрос в ТП отправил. v.martyanov. Сможете помочь, с дешефрацией?

Тикет:

Запрос ****-**** / Действие 5905574.

Или пока ждать ответа от ТП?

Сообщение было изменено VVS: 30 Июнь 2015 - 21:43
Номера тикетов ТП на форуме публиковать нельзя

[VVS]

Узнал что у вас есть расшифровщик. Напишите пожалуйста подробности получения, для тех у кого нет лицензии (можно на почту)

Подробности очень простые - без лицензии Вашими файлами никто заниматься не будет.

[fillip]

да это понятно, ничего нового, можно подтвердить что расшифровщик все таки создан и процесс расшифровки будет успешным?

Если да, то требуется ли дополнительно платить за услугу расшифровки?

[pig]

Для владельцев коммерческой лицензии расшифровка бесплатная. Для прочих даже проверять возможность не будут.

[victim]

да это понятно, ничего нового, можно подтвердить что расшифровщик все таки создан и процесс расшифровки будет успешным?

Если да, то требуется ли дополнительно платить за услугу расшифровки?

 

Я безумно рад сообщить, что зашифрованные файлы трояном Trojan.Encoder.1214 расшифровывается силами тех. поддержки Dr.Web.

Несколько часов назад получил утилиту, который успешно расшифровывает данные.

 

 

 

Узнал что у вас есть расшифровщик. Напишите пожалуйста подробности получения, для тех у кого нет лицензии (можно на почту)

 

Буду лоялен к Dr.Web-у, купи пожалуйста лицензионную копию антивируса.

 

Огромное спасибо тех. поддержке Dr.Web, без Вас мне пришлось бы всё таки заплатить запрошенную сумму в размере $1300 directorat1c@gmail.com.

Сообщение было изменено victim: 01 Июль 2015 - 03:12

[Энергомашкомплект]

Здравствуйте!

Точно такая же проблема и тоже directorat1c8@gmail.com

DrWeb стоит лицензионный, как нам быть? как нам получить дешифратор?

[VVS]

Энергомашкомплект, попробуйте прочитать хотя бы последнюю страницу темы, в которую Вы пишете...

[Энергомашкомплект]

Прочитал все, получил утилиту, расшифровано файлов 0

[pig]

Техподдержке про это сказали?

[Энергомашкомплект]

Да, написал.

Статус ожидание ответа.

[NinaSH]

добрый день,вчера  подверглась тому же шифраванию данных под xtbl, только вот удалила файлы,где мошенник запрашивал отправить сумму на почту,только точно помню,что почта именно,которая была у меня,тут еще не фигурировалась,там что-то типо ivanov......  ,возможно ли как то восстановить с помощью программы какой-нибудь файлы readme,или без неё можно обратиться в техподдержку?

[pig]

добрый день,вчера  подверглась тому же шифраванию данных под xtbl, только вот удалила файлы,где мошенник запрашивал отправить сумму на почту,только точно помню,что почта именно,которая была у меня,тут еще не фигурировалась,там что-то типо ivanov......  ,возможно ли как то восстановить с помощью программы какой-нибудь файлы readme,или без неё можно обратиться в техподдержку?

Обратиться можно. Шансы на расшифровку пока минимальны.

[pig]

Anton22, ваше сообщение скрыто - во избежание. Кому надо, увидят. Вредоносные коды публиковать запрещено. А вам внимательно читать первое сообщение темы, там почти всё написано.

[Smerdeff]

Расшифровал самостоятельно. Способ подойдет многим. Могу выложить тут информацию, если не запрещено.

[Internet]

Можно в личку

[Smerdeff]

Можно в личку

Ну суть в том, что это RC4 с одним генератором гаммы (одним ключом) на все файлы системы. Дальше кто понимает о чем речь - поймет как и вылечиться

[NinaSH]

Расшифровал самостоятельно. Способ подойдет многим. Могу выложить тут информацию, если не запрещено.

можете скинуть в личные сообщения и уточните для какой модификации вирусов была произведена расшифровка

[VVS]

Расшифровал самостоятельно. Способ подойдет многим. Могу выложить тут информацию, если не запрещено.

Здесь не надо - кто-нибудь применит Ваш способ неправильно или не к тому шифровальщику и угробит файлы.

А виноват окажется форум, т.к. на нём выложено, значит типа одобрено.

Модератор.