536 ответов в этой теме

[alex_pr]

По идее, нужно достать ключик 996E88A8. Я так понял, у всех жертв данного вируса всё им зашифровано.

Пробовал загрузить файл в их Guarantee Area - не загружается. Сообщения им тоже не отправляются.

[username500]

996E88... у меня есть, но его для расшифровки не хватает.

 

 

gpg.exe --import pub.key
gpg: key B6DAB2C0: public key "VaultCrypt (VaultCrypt) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@Bitmessage>" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)

gpg.exe --list-keys
D:/Documents and Settings/└фьшэшёЄЁрЄюЁ/Application Data/gnupg\pubring.gpg
--------------------------------------------------------------------------
pub 1024R/F3C694B9 2015-02-24
uid Cellar (Cellar) <v@u.lt>

pub 1024R/B6DAB2C0 2015-01-25
uid VaultCrypt (VaultCrypt) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@Bitmessage>
sub 1024R/996E88A8 2015-01-25

А попытка распаковки "обламывается":

gpg.exe --out out.xls -d schet1938.xls.vault
gpg: encrypted with RSA key, ID 7EEE7C64
gpg: decryption failed: secret key not available

Сообщение было изменено username500: 25 Февраль 2015 - 11:26

[v.martyanov]

 username500, ваш случай с перванным шифрованием, возможно, имеет перспективы. 996E88 приватного ни у кого на машине нет, он для шифрования и не нужен.

[santy]

Есть 2 ключа из папки прерванного вируса.

Но с другого компьютера, а не заражённого.

Шансы есть на расшифровку?

шансов нет.

по этой команде

"%TEMP%\svchost.exe" --batch --yes --homedir "%TEMP%" --gen-key "%TEMP%\gk.vlt"

 

всякий раз при новом запуске будет создана уникальная ключевая пара.
если успели перехватить secring.gpg то применить его можно к расшифровке файлов только на данном компе, и только к тем файлам, которые были зашифрованы соотвествующим pubring.gpg.

есть еще один ключ - это паблик злоумышленников, которые шифруют им секретнный ключ из ключевой пары.

 

расшифровать и достать ключи (из vault.key) можно только имея на руках секретный ключ злоумышленников, который здесь не проходит ни коим образом.

Сообщение было изменено santy: 25 Февраль 2015 - 11:33

[alex_pr]

Даже в случае с не прерванным шифрованием есть небольшой шанс вытащить данные, зашифрованные этой машиной - попробовать достать удаленные vaultkey.vlt, pk.vlt или Install.bat из Temp. Ну либо pubring+secring

Сообщение было изменено alex_pr: 25 Февраль 2015 - 11:45

[santy]

этот ключ есть у всех, он извлекается из тела батника.

0xB6DAB2C0

он содежит и подключ, которым выполнено шифрование

0x996E88A8

 

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1 - GPGshell v3.78

mI0EVMTCdAEEALiK/XRUVtlYEgRgVsCdCGOFuuPlAayDcpq0mPXZTWX6hqkw6zJp
Wtq66dUSeqFq2uFD8Gf1sYGanUztuwNHGCJcZOmCEhuzwu5aDOjfgQic4iRrwzIs
mhXNVJ7o4iShfaVDWqJYxx2EkIakG8PefpqS57uB9Qncka+BGvu889C7ABEBAAG0
SFZhdWx0Q3J5cHQgKFZhdWx0Q3J5cHQpIDxCTS1OQkpheHJ0NHJpdVZyQ3E1TlZj
THJGQzVDWUNZa3hwbUBCaXRtZXNzYWdlPoi4BBMBAgAiBQJUxMJ0AhsDBgsJCAcD
AgYVCAIJCgsEFgIDAQIeAQIXgAAKCRAW1lPUttqywK3UA/4ut/3gHWP43kANXaS1
BZOwrqM8jZIHM/37nKfjpyy0t7YBGJL3bvkW7R+119jXIb6A+0lJTuBYGPkaiK3w
iSER5Nrlkbu2Ph1i1ammIz/zZ8M12YWgLXlUYEaan7X5qKwXPsLcliAuqaL/lPyh
Ln9O8Y1tY7D4zm2nl5vTxnopaLiNBFTEwnQBBADZHzHXCsAqeA2LwGEVhgny8JQ+
301eW/rtPzcVSq0j7vmkEO8jO8PVabkOCwflAlfZgtuFaJD49KvcQRcDPXSN2kJI
mvfYRflRupa7lq0LnGlOsndGbpzjjZRUHBNeUR+LQbZnRfnBpqFDIKk3/uhPFNDg
djrZYRLcl2tJa3V9zwARAQABiJ8EGAECAAkFAlTEwnQCGwwACgkQFtZT1LbassCL
5wP+O5Js6zJT/cFYCcUuWuYs9wIng65Y+YV+y6/7p8/OTwfxazhB65fG7hdThYPt
9b4dgiEBdefeDvZwAWE5CJwdAeTsJT3OuPrMq9/fRaW3gooP/sJoWRS47mQGnIiu
DeONVwIPHeUzrKd1+jSCHcUvbJ4stmOpSNm5mGy6Ww2DKoM=
=E61M
-----END PGP PUBLIC KEY BLOCK-----

 

а приватная часть, которая нужна для расшифровки и извлечения нужного секретного ключа юзера только у злоумышленников

Сообщение было изменено santy: 25 Февраль 2015 - 11:46

[alex_pr]

Приватный ключ машины сначала сохраняется в открытом виде в vaultkey.vlt, потом уже шифруется ключом злоумышленников и удаляется. Если он не затерся на ФС, то есть шанс.

 

Восстановить secring больше шансов т.к. удаляется он после шифрования

Сообщение было изменено alex_pr: 25 Февраль 2015 - 11:51

[santy]

эти файлики тщательно затираются, видимо врядли получится восстановить из удаленных

"%TEMP%\audiodg.exe" /accepteula -p 16 -q "%TEMP%\secring.gpg"
"%TEMP%\audiodg.exe" /accepteula -p 16 -q "%TEMP%\vaultkey.vlt"

 

 

а вот можно ли найти в удаленных этот файл (%TEMP%\vaultkey.vlt.gpg) после его переименования?

RENAME "%TEMP%\vaultkey.vlt.gpg" VAULT.KEY

Сообщение было изменено santy: 25 Февраль 2015 - 11:51

[santy]

хотя....

это бессмысленно, поскольку *.gpg уже в зашифрованном виде

[gunit]

ВОт такое выходит при постоянном запуске ПК, проверил уже несколькими антивирусами. не помогло.

Прикрепленные файлы:

•  123.jpg   117,98К   5 Скачано раз

[vxd]

ВОт такое выходит при постоянном запуске ПК, проверил уже несколькими антивирусами. не помогло.

через msconfig удали из автозагрузки файлы "Inetnet Excplorer" и "Операционная система". Легко проверить по путям - оба ведут в user/appdata, один в local, другой в roaming

 

p.s. тему читают 100 человек онлайн, это уже явно не микро-эпидемия...

Сообщение было изменено vxd: 25 Февраль 2015 - 12:25

[Zhuzavr]

Судя по всему здесь лички нет.

Пойду писать статью, если повезет недели через две получите решение в поиске.

PS: Всем удачного восстановления данных.

Сообщение было изменено Zhuzavr: 25 Февраль 2015 - 12:36

[v.martyanov]

Факторизация в целых числах за 2 недели с нуля - дерзайте.

[maxic]

gunit, личная переписка - в личных сообщениях.

[LebedevRoman]

Всем, добрый день.

Столкнулись с этой проблемой. Заражены три компьютера. Купили у "них" ключ, но пока-что доступен только сам ключ, а EXE-шник с декодером не доступны. Пишут что в течении дня будет.

Подскажите, чем можно расшифровать?

GPG поможет в этом?

[ZwerPSF]

 

Столкнулись с этой проблемой. Заражены три компьютера. Купили у "них" ключ, но пока-что доступен только сам ключ, а EXE-шник с декодером не доступны. Пишут что в течении дня будет.

Сколько у вас запросили они?

[LebedevRoman]

Всю сумму не скажу.  Грубо говоря 0.0003  BTC за файл.

[alex64]

нам 2,5 BTC насчитали

[ZwerPSF]

У нас вот... на одном. На другом кей-файл не создался... часть файлов док и xls зашифровалась. xlsx и docx не тронуло.

[Madnoodle]

также попались все doc exl перешифровались в формат под .vault ничего не помогает, надеюсь снизойдет на нас помощь с дешифратором))