1248 ответов в этой теме

[MSV1979]

Добрый день.
Большинство файлов (doc, docx, xls, xlsx, картинки, dbf, ...) зашифрованы в имя-файла.decr.
Текст сообщения: "Внимание! Все Ваши файлы зашифрованы! Чтобы восстановить ... свяжитесь с нами по email: xsez@postonline.me" b в другом файле упоминается ящик decrypter@ro.ru
Лицензия есть - Dr.Web Enterprise Security Space 24 мес.
Ничего не удалял, сеть отключил, из автозагрузки отключил - файл из temp.

Здравствуйте!

 

Вчера у меня возникла точно такая же проблема на одном из рабочих ПК. Там установлен лицензионный Dr.Web. Все указанные файлы оказались зашифрованными. Обращение в техподдержку уперлось в бесконечные проверки и перепроверки серийного номера Dr.Web. Вынужден был оплатить расшифровку злоумышленикам. Сегодня расшифровал, повторно обратился в техподдержку Dr.Web, выразил полную готовность передать им (техподдержке Dr.Web) пары "зашифрованный файл-нормальный файл", дешифровщик, индивидуальный код для расшифровки, но не встретил ни понимания ни энтузиазма. Такое ощущение, что техподдержке совершенно неинтересна подобная информация. Кстати, тип шифрования в данном конкретном случае оказался не сложным ассимтеричным, как встречавшиеся в прошлом году, но не вызвавшие проблем, поскольку имелись все резеврные копии зашифрованных файлов, а вариацией логической операции XOR.

В связи с этим прошу модератора подсказать, к кому конкретно можно обратиться на предмет передачи такой информации каким-либо компетентным сотрудникам лаборатории Dr.Web.

 

Еще раз уточняю, я не прошу помощи у Dr.Web, т.к. ситуация разрешилась и без службы техподдержки, я лишь хочу предоставить всю информацию, полезную для предотвращения шифрования файлов у других пользователей.

 

Неужели лаборатории Dr.Web это совсем не нужно и не интересно?

[lionmad]

Неужели лаборатории Dr.Web это совсем не нужно и не интересно?

Судя по всему эти ключи индивидуальны и как следствие они бесполезны для других людей. А вот о версии Drweb который допустил заражение было бы интересно узнать. Вангую, что было что-то из диапазона 6-9 версии.

[MSV1979]

Судя по всему эти ключи индивидуальны и как следствие они бесполезны для других людей. А вот о версии Drweb который допустил заражение было бы интересно узнать. Вангую, что было что-то из диапазона 6-9 версии.

 

Вы немного не поняли мое предыдущее сообщение.

 

В этот раз шифровальщик НЕ ИСПОЛЬЗОВАЛ ассиметричное шифрование с двумя ключами, которое действительно не поддается расшифрованию путем перебора паролей или попытке расшифровать при наличии только одного ключа.

 

Злоумышленники использовали алгоритм на базе логической операции XOR, размеры зашифрованного и оригинального файлов не отличаются совсем, зашифрованный участок начинается не с самого начала файла, а с 58-го байта. Есть дешифровщик и индивидуальный код, который скорее всего является либо ключом, примешиваемым к операции либо несет информацию о смещении блока данных, с которого начинается шифрование или количестве применяемых операций XOR. В любом случае этого наверняка хватит специалистам Др.Веба для того, чтобы понять механизм расшифрования именно данного типа энкодеров.

 

Еще раз подчеркиваю - шифрование не ассиметричное, к которому не подступиться, злоумышленники решили срубить бабла по-легкому, на что намекает так же и небольшая относительно даже прошлогодних случаев заявленная сумма выкупа.

 

Что касается версии Др.Веба и его поведения, то вины антивируса тут нет совсем.

 

В первом прошлогоднем случае работник на другом компьютере, тоже с Др.Веб сам запустил вирус из вложения в грамотно составленном письме из электронной почты. Сигнатуры того энкодера просто не было еще в базе, но процесс шифрования, подвесивший ПК, был быстро пресечен выключением ПК и все те немногочисленные зашифрованные файлы были восстановлены из резервных копий.

 

В этот раз злоумышленники просто воспользовались перебором паролей на пользователей удаленного доступа, оставшихся на моем ПК от предыдущих владельцев. Не секрет, что в организациях компьютеры переходят по наследству. ПК был включен, поскольку общие папки используются бухгалтерией, а я был в командировке. Злоумышленники зашли в один из удаленных рабочих столов, вручную отключили Др.Веб и запустили энкодер.

 

А в понедельник я уже видел вместо рабочих файлов, файлы с расширениями decr. ((

Конечно я сразу отключил всех пользователей удаленных рабочих столов. Ну и пришлось вести переговоры с мощенниками.

Ситуация разрешилась, за 5500 руб и 4 часа дешифрования все вернулось на свои места, но информацией, которая может помочь другим пострадавшим, безуспешно пытаюсь поделиться со специалистами Др.Веб.

Да и советы, как не попасться вновь, хотел бы выслушать от специалистов, однако вижу, что всем пофиг.

Это весьма прискорбно ((

[v.martyanov]

Расшифровка для decr и им подобных делается за 10 минут по одному единственному файлу.

[Игорь Мельник]

Добрый день!07.09.15 открыл сообщение якобы из налоговой инспекции и прошел по ссылке.Все файлы текстовые и графические оказались зашифрованными.Все просканировал. Логи все сохранил.В описании вирусов точно такого же расширения не нашел.

Образец зашифрованного файла

email-oduvansh@aol.com.ver-CL 1.0.0.0.id-RYDLRXDINSYDINTYEJOTZEKOUZFKPUAFLPVA-07.09.2015 11@35@305324260.randomname

При сканировании Dr Web определил вредоносную программу как вирус Trojan.Encoder567

Прошу оказать помощь в расшифровке файлов.

Спасибо.

 

[MSV1979]

Расшифровка для decr и им подобных делается за 10 минут по одному единственному файлу.

 

Да-да, конечно.

В теории.

И где-же дешифровщик от Dr.Web или от "крупнейшего специалиста по энкодерам" с  http://vmartyanov.ru/ ?

Люди-то мучаются!

Сообщение было изменено MSV1979: 09 Сентябрь 2015 - 18:24

[v.martyanov]

 

Расшифровка для decr и им подобных делается за 10 минут по одному единственному файлу.

 

Да-да, конечно.

В теории.

И где-же дешифровщик от Dr.Web или от http://vmartyanov.ru/ ?

Люди-то мучаются!

 

А что, обязаны его выкладывать в общий доступ? С чего бы это?

[maxic]

MSV1979, добро пожаловать в техподдержку с лицензией.

[MSV1979]

MSV1979, добро пожаловать в техподдержку с лицензией.

Спасибо на добром слове!

Но я там уже был, с лицензией))

 

Вопрос-то в моем кокретном случае решен, а взять "в поликлинику на опыты" файлы в зашифр/расшифр. состоянии + ключ + дешифровщик никто желания не изъявил.

 

Я немного не понимаю, чем вызвана такая позиция лаборатории. Ведь будут обращения других людей, у которых будет такая же проблема, которую легко сможет решить ваша фирма, получив все необходимое.

А тут даже интереса никто не проявил. Только пафосный снобизм отдельных деятелей.

Ну как же так?

Ведь не сможет же каждый рядовой пользователь сделать расшифровку самостоятельно "за 10 минут по одному единственному файлу"!

[v.martyanov]

Научитесь уже читать! "Я немного не понимаю, чем вызвана такая позиция лаборатории." - связано это с тем что расшифровка легко делается, во-первых, во вторых уже есть.

[pig]

Ведь не сможет же каждый рядовой пользователь сделать расшифровку самостоятельно "за 10 минут по одному единственному файлу"!

А от него этого никто и не требует. Техподдержка по обращению сделает.

[kgb_vrn]

Здравствуйте! Словили шифровальщика. Зашифрованные файлы имеют расширение .green. поиск по форуму ничего не дал. soldgreens@gmail.com емейл указанный для контактов.  

[pig]

добро пожаловать в техподдержку с лицензией.

[vasy2900]

Вирус зашифровал фотографии, видео, музыку, текстовые документы , помогите расшифровать, а то очень жалко фотки терять. Не разрешает прикрепить файл этого типа.

Сообщение было изменено vasy2900: 14 Сентябрь 2015 - 21:32

[mike 1]

vasy2900, первое сообщение этой темы читайте. 

[dimkapavlov]

Всем добрый день. У коллег зашифровали сервер. Все файлы стали с расширением .DECR.

На форуме видел что расшифровать файлы после этого шифратора реально. Подскажите как это сделать пожалуйста.

[Dmitry_rus]

Читать 1-е сообщение темы. Там все написано, в т.ч. приведены ссылки.

https://support.drweb.ru/new/free_unlocker/?for_decode=1&keyno=&lng=ru

для особо внимательных и читающих...

[Алексей1977борисов]

а вообще кому не будь восстановили файлы с расширение .cbf ? у меня весь архив фото семейных 70 гигабайт в таком расширении!(  

связался с мошенниками договорились на сумму 5000 рублей ,теперь сижу и думаю или к ним или в тп , но в тп не попасть так как надо регистрация докт веб! 

у меня лицензия на другой антивирус ! может подскажите ,что мне делать? 

[provayder]

Делать бекапы своевременно (фотки на внешний HDD и на полку)

купить АВ, обратиться в службу поддержки, даже если не помогут с расшифровкой - с лицензионным АВ будет минимальный шанс подцепить что то подобное в будущем. 

[Anfauglir]

Добрый день! поймал из зип папки шифратор. Фото, картинки, вордовские и эксель доки зашифрованы. Помогите...( бэкапа не было свежего.

 

заражение было вечером 25.09...всё было норм...с утра 26 сентября ни один файл не открывался...был баннер с просьбой оправить любой файл на какую-то почту...отсканил антивирусами и всеразличными утилитами комп...сейчас при скачивании файлы (новые) открываются, а старые нет...

 

названия файлов поменялись полностью: вот, например- 3 разных фала с разных дисков:

email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id-PQRTVXYZBCEEGHIJLMNOQRSTVVXYABCEEGHJ-25.09.2015 17@02@107073011.randomname-ADFFHHIJJ...SSTTUVWXXX.ZAA

 

email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id-PQRTVXYZBCEEGHIJLMNOQRSTVVXYABCEEGHJ-25.09.2015 17@02@107073011.randomname-ZDDEGGHHI...QRSSTUUVWW.YZZ

 

email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id-PQRTVXYZBCEEGHIJLMNOQRSTVVXYABCEEGHJ-25.09.2015 17@02@107073011.randomname-AFHKLMNOP...XXYYZZABCC.DEE

 

 

 

и , возможно это поможет: в том письме было 2 зип папки....открывал я 1-й файл...теперь он уже не скачивается из письма, а вот второй...я после заражения специально скачал себе на рабочий стол и пока ещё не удалял (не знаю что в нем)...но пока не удаляю...может это как-то сможет помочь в решении моей проблемы ((