536 ответов в этой теме

[LelyaAvramova]

 

Хаккеры говорят скачать какой-то браузер и зайти к ним на сайт. 
Кто-то уже это делал?

Этот браузер - стандарт для анонимного обозревания инета. В Белоруссии недавно запрещён по идейным соображениям, чтобы  оппозиция меньшую аудиторию имела.

Я заходил на рэкетирский сайт, на первый взгляд он безопасный.

Главное оттуда ничего не скачивать и не выполнять без бэкапа на другие носители.

Но денег жалко.

Сделали бы 300-900 р, как за винлок - это ещё терпимо.

 

Ну, тогда будем качать браузер... Выбора особого нет.

На будущее, конечно, надо резервные копии делать. Уже админ получил втык) Но странно, что антивирус все пропустил((

 

Я так поняла, что цены у них высокие...

Придется директора обрадовать))

[username500]

Придется директора обрадовать))

Лучше полицию напрягайте параллельно и все платежи фиксируйте с  нотариусами или понятыми.

Чтоб жуликам побольше срок заключения дали, когда выловят, а вам компенсацию. И мне халявный дешифратор

Или производителям своего антивируса иск предъявите. Кто они кстати и несут ли какую-то ответственность?

 

Почему касперские первыми стали этот JS ловить, а внутри написано - проверено Касперским? Поклёп?

Сообщение было изменено username500: 04 Март 2015 - 17:56

[v.martyanov]

В интернетах много чего написано. И на файле было написано что он документ, а однако же повелись :-) Антивирусы не несут и не будут нести никакой ответственности, потому что гарантии обнаружения вирья нет и быть не может.

[Alexandr82]

Я так поняла, что цены у них высокие...

Мало того что высокие, так еще и оплата электронной валютой, а именно Биткоинами

 

Лучше полицию напрягайте параллельно и все платежи фиксируйте с  нотариусами или понятыми.

Интересно как они буду фиксировать платежи в сети Биткоин?

[Seraph]

Тоже поимали на одном компьютере данный шифровальщик. Выкупили ключ. Чем можем помочь остальным жертвам данных вредителей?

[username500]

Ну выложите ключ сюда и расшифровщик к нему.

И пару-тройку образцов файлов - шифрованных и исходных. Которые ничего вашего важного не разглашают.

Сообщение было изменено username500: 05 Март 2015 - 16:55

[Seraph]

Выкладываю файлы в архиве.

Прикрепленные файлы:

•  vault.zip   1,1Мб   356 Скачано раз

[username500]

Спасибо, поэкспериментируем.

А сколько платили?

Полицию подключали?

 

Вопрос гуру:

Чем это упаковано, кроме UPX?

У меня schet1938.xls.vault переименовался в schet1938.xls.gpg но внутри та же каша 1:1.

 

Чего-то в окне программы мелькнуло про ключи, но быстро.

и зачем нужна перезагрузка?

 

 

вот это что за пароль в теле программы:

RunProgram="hidcon:cmd.exe /c \"%TEMP%\\verify.exe\" x -pTQntiNY2yWvLiNw -y vault"

Сообщение было изменено username500: 05 Март 2015 - 17:42

[Seraph]

Спасибо, поэкспериментируем.

А сколько платили?

Полицию подключали?

 

Вопрос гуру:

Чем это упаковано, кроме UPX?

У меня schet1938.xls.vault переименовался в schet1938.xls.gpg но внутри та же каша 1:1.

 

Чего-то в окне программы мелькнуло про ключи, но быстро.

и зачем нужна перезагрузка?

 

 

вот это что за пароль в теле программы:

RunProgram="hidcon:cmd.exe /c \"%TEMP%\\verify.exe\" x -pTQntiNY2yWvLiNw -y vault"

 

Заплатили сносно. Полицию не подключали. Я бы не стал запускать программу на живой системе.

Про пароль не в курсе.

 

[username500]

А ещё свой vault.key выложите плиз. 

В нём персональных данных нет, кроме имени компа и числа заражённых файлов разных типов.

 

 

Пароль оказывается на извлечение из 7z архива

cyan.cmd - скрипт декодирования

iconv.dll - часть GPG.exe 
vault-restore.exe (960000 байт) - сам GPG.exe

 

 

 

Я бы не стал запускать программу на живой системе.

У меня виртуалбокс есть, чтоб тимвьюер не "банил".

Но и декодер сравнительно безопасный, самое страшное там del:

 

VAULT-RESTORE.exe --import "%TEMP%\sec.key"
ping 127.0.0.1 -n 1 >nul
call "%temp%\restore.cmd"
del /f /q "%TEMP%\VAULT-RESTORE.exe" >nul
del /f /q "%TEMP%\sec.key" >nul
del /f /q "%TEMP%\iconv.dll" >nul
del /f /q "%TEMP%\*.gpg" >nul
del /f /q "%temp%\restore.cmd" >nul
cls
Echo.
Echo SYSTEM WILL REBOOT NOW..
ping 127.0.0.1 -n 8 >nul
shutdown -r -t 0
del /f /q %0
:end
del /f /q "%TEMP%\VAULT-RESTORE.exe" >nul
del /f /q "%TEMP%\sec.key" >nul
del /f /q "%TEMP%\iconv.dll" >nul
del /f /q "%TEMP%\*.gpg" >nul
del /f /q "%temp%\restore.cmd" >nul
del /f /q %0

Сообщение было изменено username500: 05 Март 2015 - 18:03

[Seraph]

А ещё свой vault.key выложите плиз. 

В нём персональных данных нет, кроме имени компа и числа заражённых файлов разных типов.

 

 

Пароль оказывается на извлечение из 7z архива

cyan.cmd - скрипт декодирования

iconv.dll - часть GPG.exe 
vault-restore.exe (960000 байт) - сам GPG.exe

 

 

 

Я бы не стал запускать программу на живой системе.

У меня виртуалбокс есть, чтоб тимвьюер не "банил".

Но и декодер сравнительно безопасный, самое страшное там del:

 

VAULT-RESTORE.exe --import "%TEMP%\sec.key"
ping 127.0.0.1 -n 1 >nul
call "%temp%\restore.cmd"
del /f /q "%TEMP%\VAULT-RESTORE.exe" >nul
del /f /q "%TEMP%\sec.key" >nul
del /f /q "%TEMP%\iconv.dll" >nul
del /f /q "%TEMP%\*.gpg" >nul
del /f /q "%temp%\restore.cmd" >nul
cls
Echo.
Echo SYSTEM WILL REBOOT NOW..
ping 127.0.0.1 -n 8 >nul
shutdown -r -t 0
del /f /q %0
:end
del /f /q "%TEMP%\VAULT-RESTORE.exe" >nul
del /f /q "%TEMP%\sec.key" >nul
del /f /q "%TEMP%\iconv.dll" >nul
del /f /q "%TEMP%\*.gpg" >nul
del /f /q "%temp%\restore.cmd" >nul
del /f /q

Прикрепленные файлы:

•  VAULT.zip   1,1Мб   133 Скачано раз

[Владимир Сегодин]

Ну, тогда будем качать браузер... Выбора особого нет.

На будущее, конечно, надо резервные копии делать. Уже админ получил втык) Но странно, что антивирус все пропустил((

 

Я так поняла, что цены у них высокие...

Придется директора обрадовать))

 

 

Цены были просто гигантские(

Сегодня, правда, по непонятным причинам, нам цену снизили в 3 раза.

Вы уже попали на сайт? У Вас тоже "скидка"?

Сообщение было изменено Владимир Сегодин: 05 Март 2015 - 18:21

[username500]

Может народ неохотно платит, они и сделали скидки в честь женского дня.

Но лучше этих хакеров совсем закрыть, как интернет-магазин Silk Road.

[santy]

Тоже поимали на одном компьютере данный шифровальщик. Выкупили ключ. Чем можем помочь остальным жертвам данных вредителей?

да ничем, разве что морально, "мы тоже пострадавшие, а значит обрусевшие". ключи все равно бесполезны для всех, кроме вас.

 

[username500]

Можно поискать в программах почерк хакеров или какой-нибудь "косяк" в методике шифровки и продажи пострадавшим их собственных данных.

Или в их техподдержку пожаловаться - ваш глючный вирус 10 раз запускался и разные ключи придумывал.

Гоните остальные декодеры, а то наймём эстрасенсов для отмщения 

Сообщение было изменено username500: 05 Март 2015 - 18:43

[LelyaAvramova]

 

Ну, тогда будем качать браузер... Выбора особого нет.

На будущее, конечно, надо резервные копии делать. Уже админ получил втык) Но странно, что антивирус все пропустил((

 

Я так поняла, что цены у них высокие...

Придется директора обрадовать))

 

 

Цены были просто гигантские(

Сегодня, правда, по непонятным причинам, нам цену снизили в 3 раза.

Вы уже попали на сайт? У Вас тоже "скидка"?

 

На сайт утром еще зашли, зарегестрировались.

Цену поставили в рамках разумного (видимо, та скидка, о которой Вы писали).

230 долларов хотели, сторговались за 200. но на моем ПК реально всю бухгалтерию оно "пожевало"...

Наверное, придется платить.

Еще вопрос от наших юристов к форумчанам -

есть ли с технической точки зрения возможность найти по адресу сайта этих злодеев?

В полицию обращаться, конечно, надо. Но есть ли в этом вообще смысл???

Если браузер для анонимности, как тут писали, то и сайт анонимен, да...?

[santy]

ну, вообще-то на убитого горем бухгалтера вы не похоже

Сообщение было изменено santy: 05 Март 2015 - 18:58

[username500]

В принципе если такие письма с "документами" разослать в Кремль, Вашингтон, Пентагон, ФБР, ФСТЭК, УФСИН, ЦРУ, ФСБ, ГРУ, прокуратуру, полицию и они им чего-то зашифруют, то шансы пострадавших намного вырастут.

Кто займётся мотивацией органов власти, чтоб конкретно ваш компьютер не изъяли на месяц?

[LelyaAvramova]

ну, вообще-то на убитого горем бухгалтера вы не похоже

Да я уже устала убиваться

Юристы заявление в полицию все-таки написали

[ZwerPSF]

Хех- зашёл в эти злоумышленницкие личные кабинеты а там сообщение от них:

"Обратите внимание, что Ваша цена значительно снизилась.
Мы готовы найти компромисс. Пишите"

Ну да - снизили с 1900 до 650$... Прям побежал оплачивать, ага - щаззззз...

На предложение моё за первый комп 70, за второй 30 - пока молчат =)