419 ответов в этой теме

[safonov711]

Кто знает как возобновить, сделанный ранее запрос на расшифровку

[Dadhi]

А как вообще отыскать свои ранее поданные запросы? если прямая ссылка не сохранилась?

[280385]

поймали вирус который закодировал всё,.id-1846355584_decrypt@india.com, убил все базы 1с, документы, фото. На базы 1с 7.7 были бекапы в архивах zip, их тоже убило, однако если взять и тупо поставить обратно расширение zip этим архивам то они открываются и из них можно извлечь живые файлы DBF!!!!!, тем самым заменив ими убитые файлы в базе мы спокойно восстановили работу программы 1С. Может кому поможет, пробуйте.

[skypiece]

топ-20 поисковика, можно сказать, вообще ничего не дал.. кроме блога топикстартера, но ему всё описанное наверняка уже известно

 

при запуске вредоносного файла отправляется POST запрос просто по http:80 (спасибо Wireshark)

Spoiler

POST /a/script.php HTTP/1.0

Connection: keep-alive

Content-Type: application/x-www-form-urlencoded

Content-Length: 87

Host: antivirusebola.com

Accept: text/html, */*

Accept-Encoding: identity

User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36

number=128&id=2285809511&pc=MICROSOF-EF4799&tail=.id-2285809511_help@antivirusebola.com

в ответ приходит 128 байтный код

Spoiler

rZ8ndFm4vajMhb3Dmvmj1AV8zCAFJeu35sf8Zt2juaYCcO7oajz1KkX0MmFmr2flikj8Fbh1b6reJntJyTA95m9HADVSt25DbeBHfIxhDOlc4FMrocoionRPRCybssEu

дальше файлы шифруются, причём достаточно быстро..

 

выявил следующее:

в первые четыре байта записывается размер исходного файла

затем идут шифрованные данные группами по 16 байт (т.е. [размер выходного файла - 4] кратен 16)

примеры шифров для приведённого выше случая (HEX)

Spoiler

1) 00000000000000000000000000000000 (16 байт заполненные 0x00)

>

100000006FE2EB83C8CEBABB6E056F0DF0DE4518

2) 17 байт заполненные 0x00

>

110000006FE2EB83C8CEBABB6E056F0DF0DE45186FE2EB83C8CEBABB6E056F0DF0DE4518

3) 64 байта заполненные 0x00

>

400000006FE2EB83C8CEBABB6E056F0DF0DE45186FE2EB83C8CEBABB6E056F0DF0DE45186FE2EB83C8CEBABB6E056F0DF0DE45186FE2EB83C8CEBABB6E056F0DF0DE4518

наводит на мысль, что шифрующий код прост, но

реальные файлы показали себя иначе:

Spoiler

документ1) исходный размер = 26 239

зашифрованный на стенде = 26 244

зашифрованный у бухгалтера = 24 644

документ1) исходный размер = 18 564

зашифрованный на стенде = 18 580

зашифрованный у бухгалтера = 18 612

т.о. имеем прецедент уменьшения размера файла после шифрования..

 

v.martyanov, а откуда сведения, что используется "AES-128 в самом простом его варианте" ?

может первые версии и были такими.. но последняя определённо обрела и архивирующие способности.

 

беглый анализ вредоносного exe файла показал только следы мелкомягкого компилятора.. на реверс-инженерию вечера не хватило.

 

- вирус не работает на компьютерах, где его вручную не запускают  

- вирус не страшен там, где делают резервные копии  ну серьёзно, достаточно однажды планировщик заданий операционной системы натравить на скрипт и всё.. постыдитесь программисты и сотрудники АСУП

- вирус не работает на компьютерах с заблокированным доступом к указанному веб-ресурсу или вообще к интернет

- стоит проанализировать работу с большими файлами.. раз уж они якобы "не шифруются".. может удастся сделать простой дешифратор для них? например, базам 1с8+ это понравится   

 

p.s. а подача заявления в "органы" не приведёт ли к изъятию инфицированных компьютеров и куче побочных сложностей?

[skypiece]

забыл указать..

- если 1024 битный ответ сервера преобразовать из base64 получится 96 байтный ключ

Spoiler

AD9F277459B8BDA8CC85BDC39AF9A3D4057CCC200525EBB7E6C7FC66DDA3B9A60270EEE86A3CF52A45F4326166AF67E58A48FC15B8756FAADE267B49C9303DE66F47003552B76E436DE0477C8C610CE95CE0532BA1CA22A2744F442C9BB2C12E

- поиск по наличию первых и/или последних шестнадцати байт 1024 битного варианта ключа по содержимому всех файлов на диске ни к чему не привёл, т.е. локально шифр вряд ли хранится..

- сам вредоносный файл удаляется после выполнения, а при повторном запуске уже инициируется новая сессия шифрования с новым ключом

- меняется изображение на рабочем столе на некое нелепое.. (проверено на windows xp)

[thyrex]

беглый анализ вредоносного exe файла показал только следы мелкомягкого компилятора..

Сие творение написано на Delphi

[skypiece]

прицепили соответствующие библиотеки ?!  всё-таки размер приложения не мал.. явно с кучей лишнего

[v.martyanov]

прицепили соответствующие библиотеки ?!  всё-таки размер приложения не мал.. явно с кучей лишнего

Нет, просто кто-то не сумел добыть корректные данные.

[280385]

отправлял в касперского 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

 

aura.bmp

 

Вредоносный код в файле не обнаружен.

 

Письмо- ТД в МРИ ФНС о выписке из ЕГАИС.odt.id-1846355584_decrypt@india.com

 

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

 

Счет-фактура №000965 от 05.09.2014.scr - Trojan.Win32.Yakes.fwdf

 

Детектирование файла будет добавлено в следующее обновление.

 

С уважением, Лаборатория Касперского

 

и спустя 2 дня ответ

 

Здравствуйте,

 

К сожалению, создание утилиты для расшифровки файлов не представляется возможным, т.к. ключ для шифрования вредоносное программное обеспечение получает от сервера злоумышленников, и использованный алгоритм генерации ключей нам неизвестен.

 

С уважением, Фёдор Синицын

Вирусный аналитик

[RomaNNN]

280385, а нами эти файлы детектятся? 

[280385]

280385, а нами эти файлы детектятся?

 

 

незнаю, не проверял, могу прислать если хотите )))

[Sergey377]

Мы тоже подхватили счет фактуру(, ТП дрвеб прислала дешифратор, но он расшифровать увы не смог, не знаю что делать!!!!!((((

[pig]

Мы тоже подхватили счет фактуру(, ТП дрвеб прислала дешифратор, но он расшифровать увы не смог, не знаю что делать!!!!!((((

Доложите в ТП, пусть думают.

[v.martyanov]

 

Мы тоже подхватили счет фактуру(, ТП дрвеб прислала дешифратор, но он расшифровать увы не смог, не знаю что делать!!!!!((((

Доложите в ТП, пусть думают.

 

Они там у нас и так уже месяц подряд думают и только благодаря этому есть хоть какой-то шанс расшифровать. И прекрасно понимают, что шанс даже не 90% и поэтому продолжают думать.

[Crim]

Ребят, тоже постигла подобная проблема. Антивирус удалил все остатки вируса на компьютере, что я как понял плохо, ибо не позволяет выявить по какому принципу производилось шифрование. Но сама программа сохранилась и тут меня постигла идея: а что если еще раз заразить компьютер и позволить ему снова зашифровать файлы, но при этом не позволив антивирусу ее удалить? Ведь по идее вся необходимая информация останется и ее можно будет передать в тех. поддержку. 

[v.martyanov]

Ребят, тоже постигла подобная проблема. Антивирус удалил все остатки вируса на компьютере, что я как понял плохо, ибо не позволяет выявить по какому принципу производилось шифрование. Но сама программа сохранилась и тут меня постигла идея: а что если еще раз заразить компьютер и позволить ему снова зашифровать файлы, но при этом не позволив антивирусу ее удалить? Ведь по идее вся необходимая информация останется и ее можно будет передать в тех. поддержку. 

Ага, классная идея! Юстас шлет Алексу шифровку и чтобы ее расшифровать нужно всего лишь поймать Юстаса в момент подготовки второй шифровки. Вас не смущает столь уязвимый способ шифрования?

[usverg]

Ведь по идее вся необходимая информация останется и ее можно будет передать в тех. поддержку

Не поможет - при генерации ключа используется псевдослучайное число, а оно завязано как минимум на значение времени (под Windows с точностью 0.0001 секунды).

[Sergey377]

видимо в id_хххххх_decrypt@india.com

они используют индийские телефонные номера) случайно наткнулся

[lora78]

поймали вирус который закодировал всё,.id-1846355584_decrypt@india.com, убил все базы 1с, документы, фото. На базы 1с 7.7 были бекапы в архивах zip, их тоже убило, однако если взять и тупо поставить обратно расширение zip этим архивам то они открываются и из них можно извлечь живые файлы DBF!!!!!, тем самым заменив ими убитые файлы в базе мы спокойно восстановили работу программы 1С. Может кому поможет, пробуйте.

 Доброе время суток у меня такаежа  проблема можно поподробней о восстановление 1 с 

[lora78]

id-1615793343_decrypt@india.com
и
id-6054108859_decrypt@india.com

расшифровал при помощи xxxxxx

 

а вот  id-5648149726_decrypt@india.com не получается ... что делать?

доброе время суток ,а подскажите поподробней при помощи чего расшифровали id-1615793343_decrypt@india.com

и
id-6054108859_decrypt@india.com