28 ответов в этой теме

[Katry84]

Добрый день!

Вчера на почту пришла рассылка от нашего Ген. Дир., якобы "смена рабочего  распорядка согласно закону", отправлено письмо почти всему штату сотрудников, а это больше 150 адресов. Письма были отправлены с её почты, хотя вроде как, её почта не была взломана.

Не знаем что теперь делать, но ущерб серьезный, так как больше половину сотрудников заразились этим шифровальщиком((

Письмо было примерно такого содержания:

 

Уважаемые коллеги, в связи с последними изменениями в Трудовой кодекс РФ (Федеральный закон от 2

апреля  2014  г.  N  56-ФЗ) наша компания вносит некоторые изменения в Правила внутреннего трудового распорядка организации.

Большая просьба ознакомиться с ними(в аттаче) для дальнейшего подписания в отделе кадров

 

-- 

С уваженим, 

Генеральный директор

М*****на ***на

 

Прикреплен был архив с файлом, при открытии открылся документ с крякозяблами. Через минут 10-15 вылезло окошко след.содержания:

 

 

Как не прискорбно, но Вы стали жертвой целевой атаки

Все файлы, имеющие расширение *.uncrpt@gmail_com, были зашифрованы при помощи алгоритма RSA-1024

 

 1. Никакой сис.админ или антивирусная компания никогда не смогут восстановить файлы

 2. Советуем почитать о взломе 1024-битного RSA ключа: http://ru.wikipedia.org/wiki/Криптоанализ_RSA

 

 3. У Вас есть два варианта:

    а) Форматировать диск и вернуть 0% файлов - неправильный выбор

    б) Купить уникальный ключ восстановления и вернуть 100% файлов - Правильно

 

 4. Письма с угрозами приведут к удалению секретного ключа

 5. Более того, все Ваши частоиспользуемые файлы слиты, мы сможем найти им применение

 6. У Вас есть ровно 5 дней (срок годности ключа). Обращайтесь за помощью: uncrpt@gmail.com (или uncrpt@mail2tor.com)

 

 --

 

 Hello, it's me, CryptoLocker! Today I chose you, my friend.

 All your information is encrypted using the MOST STRONG ENCRYPTION in the world - RSA-1024

 

 1. Neither programmer, nor system administrator, nor law officer cannot decode RSA-1024

 2. Stop working and start reading about cracking 1024-bit RSA key: http://bit.ly/1kfA66e

 

 3. You have two variants:

    a) Format HDD and loose ALL important data forever - wrong choice

    Buy UNIQUE uncryption key and restore 100% of data - RIGHT choice

 

 4. Threatening letters will cause deleting of your Private RSA key

 5. Moreover, we have all your frequently-used files, and we can find them useful

 6. Unfortunately, you have only 5 days (Private key expires). E-mail us: uncrpt@gmail.com (or uncrpt@mail2tor.com)

 

 

 

DATA ENCRYPTED:  19.05.2014 17:46

 

Сначала я подумала что это какая-то шутка, но потом увидела, что некоторые файлы на сетевом диске не открываются и имеют расширение *.uncrpt@gmail_com , почитала у вас в темах раздают дешифраторы, могли бы вы отправить нам тоже?

Прикрепляю зашифрованный файл  001 (2).jpg.rar   886,3К   6 Скачано раз

 

Мы им написали на почту, но они выставили очень большую цену, боимся что кинут и не расшифруют ((

 

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[VVS]

Выполните п. № 3 сообщения № 2 в этой теме.

При этом учтите, что услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web.

[mrbelyash]

Прочтите 2 пост.

А файлы вряд ли были слиты...это какой канал надо иметь.

[gboldirev]

А сколько денег захотели?

[Katry84]

Мне не разрешило начальство тут публиковать эту информацию, но, судя по всему это было целевым заражением нашей компании (также все сетевые диски были заблокированы)

Самое ужасное, что у нас сидит IT отдел из 15 человек и никто ничего не смог сделать. Теперь все уволены.

Мы заплатили, они отправили три разных дешифратора и все слава Богу расшифровали. но сказали вроде как на 1 открытие на компьютере, не поняла если честно.

Я могу их сюда отправить, возможно кому пригодятся. Стоимость была четырехзначной евро

[v.martyanov]

Гыгы. Почтовый червь там, ни о какой целевой атаке речи не идет :-)

[Katry84]

Гыгы. Почтовый червь там, ни о какой целевой атаке речи не идет :-)

Я понимаю, что Вам смешно, но времени ждать от Вас результатов и помощи не было(

[v.martyanov]

 

Гыгы. Почтовый червь там, ни о какой целевой атаке речи не идет :-)

Я понимаю, что Вам смешно, но времени ждать от Вас результатов и помощи не было(

 

А результатов можно и не ждать, не расшифровать такое :-)

[gboldirev]

 

Мне не разрешило начальство тут публиковать эту информацию, но, судя по всему это было целевым заражением нашей компании (также все сетевые диски были заблокированы)

Самое ужасное, что у нас сидит IT отдел из 15 человек и никто ничего не смог сделать. Теперь все уволены.

Мы заплатили, они отправили три разных дешифратора и все слава Богу расшифровали. но сказали вроде как на 1 открытие на компьютере, не поняла если честно.

Я могу их сюда отправить, возможно кому пригодятся. Стоимость была четырехзначной евро

 

Вряд ли целевая атака. К сетевым дискам просто был у пользователя доступ. У меня менеджер запустила с почты (письмо от сущуствуюшего клиента, вменяемый текст). Запустила на терминалке(. Но прав дисковых было немного, да и я вовремя процесс этот завершил, благо сразу отписалась. Буду рад дешифраторам, хотя, в принципе, бэкапы всего есть. bogena@yandex.ru или скайп boldirev_ga . Мне объявили 130 евро, потом дешифратор. Я готов 500р выделить, да и то сначала стулья)

[v.martyanov]

Вряд ли тут будет расшифровка, хотя, в принципе, если кто-то поделится расшифровщиком шансы будут.

[gboldirev]

Вряд ли тут будет расшифровка, хотя, в принципе, если кто-то поделится расшифровщиком шансы будут.

Ну если Katry84  уже  заплатили, уверен, поделится)

Сообщение было изменено gboldirev: 22 Май 2014 - 11:25

[v.martyanov]

 

Вряд ли тут будет расшифровка, хотя, в принципе, если кто-то поделится расшифровщиком шансы будут.

Ну если Katry84  уже  заплатили, уверен, поделится)

 

Есть 4 варианта: поделятся или нет и автор трояна дурак или нет. Только если автор дурак и поделятся что-то выйдет.

[gboldirev]

 

 

Вряд ли тут будет расшифровка, хотя, в принципе, если кто-то поделится расшифровщиком шансы будут.

Ну если Katry84  уже  заплатили, уверен, поделится)

 

Есть 4 варианта: поделятся или нет и автор трояна дурак или нет. Только если автор дурак и поделятся что-то выйдет.

 

Думаешь, в каждом письме уникальный ключ? или в алгоритме учавствует адрес получателя?

[Dmitry_rus]

Если автор - не дурак, то так оно и будет. Для каждого случая - свой уникальный ключ. И тогда можно не делиться - все равно особого толку не выйдет.

[gboldirev]

Если автор - не дурак, то так оно и будет. Для каждого случая - свой уникальный ключ. И тогда можно не делиться - все равно особого толку не выйдет.

Ну я думаю, там всё-таки массовая рассылка. Разве что ещё и ключ для шифрования - зашифрованный адрес получателя

Сообщение было изменено gboldirev: 22 Май 2014 - 13:19

[22445577]

Всем привет. Этот троян у меня криво сработал: не почистил свои временные файлы, оставил папку gnupg, в ней есть random_seed, pubring.gpg целый, secring.gpg с нулевым размером, и куча файлов промежуточных. Если кто разбирается в криптографии могу отправить всё архивом.

[v.martyanov]

Нет там приватного ключа.

[22445577]

Нет там приватного ключа.

xmailer.netne.net crypted.php?trg=%COMPUTERNAME%/%USERNAME%&bgn=%startime%&end=%endtime% похоже, ключ должен был попасть сюда.

[v.martyanov]

 

Нет там приватного ключа.

xmailer.netne.net crypted.php?trg=%COMPUTERNAME%/%USERNAME%&bgn=%startime%&end=%endtime% похоже, ключ должен был попасть сюда.

 

Почитайте про RSA и асимметричную криптографию.