424 ответов в этой теме

[mrbelyash]

https://vms.drweb.ru/sendvirus/?lng=ru

[v.martyanov]

.NET там и близко не лежал, троян на сях писан.

[NSwift]

Тоже напоролся на данный вирус сегодня. По неосторожности сам его считай и запустил, но эта зараза представила себя как установщик .Net Fraemwork 2.0 и 3.5. А так как в это у меня велась установка, я не предал этому значения. Но когда я уже понял неладное и то что установка идет слишком долго сбросил процесс. В итоге весь диск D зашифрован. 

При какой либо установки тело снова запускается и просит установить .Net Fraemwork 2.0 и 3.5. Где находится это тело, не могу понять.

[mrbelyash]

Тоже напоролся на данный вирус сегодня. По неосторожности сам его считай и запустил, но эта зараза представила себя как установщик .Net Fraemwork 2.0 и 3.5. А так как в это у меня велась установка, я не предал этому значения. Но когда я уже понял неладное и то что установка идет слишком долго сбросил процесс. В итоге весь диск D зашифрован. 

При какой либо установки тело снова запускается и просит установить .Net Fraemwork 2.0 и 3.5. Где находится это тело, не могу понять.

логи делайте

[NSwift]

Вот логи и скриншот того, что выходит при запуске тела

 1.jpg   330,24К   2 Скачано раз

 NSWIFT-PC_NSwift_090315_195705.zip   2,18Мб   8 Скачано раз  cureit(6084).7z   160,73К   2 Скачано раз  hijackthis.7z   3,44К   4 Скачано раз

[mrbelyash]

темпы ccleaner чистили?

[NSwift]

До проверки логов нет.

[cavstarica]

Отправил тело вируса-шифровальщика в саппорт, прислали следующее-

 

Здравствуйте.
Зашифровано одним из вариантов Trojan.Encoder.858. К сожалению, никаких способов расшифровать такое на данный момент не известно. Расшифровка нашими силами невозможна.

Криптосхема такова, что подобрать/вычислить пароль не представляется возможным.
Ключ для расшифровки можно только получить в готовом виде у того, кто его знает.
Т.е., вообще говоря, только у автора/хозяина троянца.
Отобрать, украсть, выкупить или т.п.

Если мы когда-нибудь всё-же получим какую-либо практически полезную для расшифровки ваших файлов информацию, мы вам сообщим.

Общая рекомендация: обратитесь с заявлением в территориальное управление "К" МВД РФ;
по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.
Образцы заявлений, а также ссылка на госпортал ("Порядок приема сообщений о происшествии в органах внутренних дел РФ") есть на нашем сайте: http://legal.drweb.com/templates

Поделать нечего, скину файлы на съёмный HDD и уберу до лучших времён. Очень жаль.

[NSwift]

Известно когда будет дешифровщик? Хотя бы примерно? Или это вообще никому не по силам?

[mrbelyash]

Известно когда будет дешифровщик? Хотя бы примерно? Или это вообще никому не по силам?

в суппорте спросите или у  v.martyanov

[v.martyanov]

Нет расшифровки.

[AlexKotik]

"посчастливилось" на днях словить этот вирус    , зашифровал, всё, что было ему можно, кроме... фото-, видео- и т.д. файлов в Корзине и файлов в папках с образцами фото-видео-музыки (тех, что в системных доках) - там всё, как было изначально, хотя рядом стоящие с этими папками файлы все съел... возник вопрос: он их намеренно не трогает? или они защищены системой и в них можно дублировать инфу для сохранности? или это недоработка автора?

а на рабочем столе есть измененный этим вирусом файл с раширением txbl, который никак не могу удалить, что ни делаю

 

сорри, если такой момент уже обсуждался

Сообщение было изменено AlexKotik: 11 Март 2015 - 19:50

[DIKSAN]

"посчастливилось" на днях словить этот вирус    , зашифровал, всё, что было ему можно, кроме... фото-, видео- и т.д. файлов в Корзине и файлов в папках с образцами фото-видео-музыки (тех, что в системных доках) - там всё, как было изначально, хотя рядом стоящие с этими папками файлы все съел... возник вопрос: он их намеренно не трогает? или они защищены системой и в них можно дублировать инфу для сохранности? или это недоработка автора?

а на рабочем столе есть измененный этим вирусом файл с раширением txbl, который никак не могу удалить, что ни делаю

 

сорри, если такой момент уже обсуждался

Попробуйте изменить расширение,например если у вас был файл под названием "123.xtbl" если это фото измените и напишите 123,JPG у меня получилось c фото.

[Викторуни]

Вот логи и скриншот того, что выходит при запуске тела

при каких обстоятельствах словили вирус?

[AlexKotik]

 

"посчастливилось" на днях словить этот вирус    , зашифровал, всё, что было ему можно, кроме... фото-, видео- и т.д. файлов в Корзине и файлов в папках с образцами фото-видео-музыки (тех, что в системных доках) - там всё, как было изначально, хотя рядом стоящие с этими папками файлы все съел... возник вопрос: он их намеренно не трогает? или они защищены системой и в них можно дублировать инфу для сохранности? или это недоработка автора?

а на рабочем столе есть измененный этим вирусом файл с раширением txbl, который никак не могу удалить, что ни делаю

 

сорри, если такой момент уже обсуждался

Попробуйте изменить расширение,например если у вас был файл под названием "123.xtbl" если это фото измените и напишите 123,JPG у меня получилось c фото.

 

увы, мне не помогло, никакое расширение не распознается, ниодним из плееров/редакторов/проигрывателей и т.д.

 кроме того, после перезагрузки пк все неизмененные файлы в Корзине оказались удалены, некоторые удаленные папки с зашифрованными файлами оказались на своем прежнем месте и восстановленными в ним файлами (т.е. теми, что были зашифрованы), но... недолго музыка играла... после еще одной перезагрузки все опять оказалось зашифрованным и появился всем известный черным экран с красной написью и рекомендациями

вот как-то так...

[Silent John]

Пообщался немного со злоумышленниками.

Переписка с deshifrovka@india.com:

 

--------------------------------------------

 

On Tue, 3/3/15, John St <stjohn1982@yahoo.com> wrote:

Subject: RE: RE: Re: Ваши файлы были зашифрованы.

To: "incode decode" <deshifrovka@india.com>

Date: Tuesday, March 3, 2015, 12:10 PM

 

     Дамы и господа, леди и джентльмены, ребята и девчата.

     Внимательно прочитайте написанное ниже.

     Вы, конечно, считаете себя выдающимися программистами, вирусописателями, крутыми шифровальщикми и пр., хорошо подготовившимися к работе по вымогательству денег у пострадавших пользователей, убеждёнными в том, что вас никто и никогда не найдёт и не накажет. Хотел бы вас разочаровать и предостеречь от дальнейшей противозаконной деятельности в сфере информационных технологий.

     Практически вся деятельность по созданию вредоносных программ и борьбе с ними — не более чем игра в рамках существующих социально-экономических отношений, в немалой степени выгодная обеим сторонам. Поскольку существует эффективный способ отслеживания любой вредоносной активности и вычисления злоумышленников (в том числе таких, как вы), например ловлей «на живца», то есть с использованием специально подготовленных систем, ведущих себя намеренно рискованно и имеющих физические средства определения электрических параметров (силы тока, напряжения) во всех необходимых частях компонентов системы с воспроизведением (в реальном или отложенном времени) указанных параметров в изолированных системах, что делает невозможным определение вредоносными программами или злоумышленниками факта их отслеживания (так же как не существуют и никогда, скорее всего, не будут созданы программные средства, позволяющие определить, что в период написания данного сообщения к шине питания моего процессора был подключён мультиметр, измеряющий падение  напряжения на ней).

     Это очевидно любому аппаратчику (надеюсь, в вашем окружении таковой имеется); подобные системы уже давно созданы и находятся в распоряжении соответствующих государственных структур, решающих с их помощью прежде всего геополитические задачи. Все крупные промышленные компании (Intel, AMD, Samsung, Ангстрем и т. д.), создающие компоненты современных вычислительных устройств, с этими госструктурами связаны. Задача дешифровки информации (в том числе зашифрованной вашим творением) и вычисления злоумышленников — это две совершенно разные задачи, причём последняя несравнимо проще первой: анализировать сеть из нескольких миллиардов пользователей в реальном времени суперкомпьютеры могли уже 20 лет назад. Забудьте об анонимности в сети: так же как созданием Интернета мы обязаны военным, так и все средства и технологии обеспечения анонимности (точнее говоря, иллюзии анонимности) создаются при участии и находятся под контролем госструктур (Tor — ярчайший современный пример, реализующий один из вариантов стратегии ловли «на живца»). Поэтому очевидно, что все более или менее толковые создатели вредоносных программ уже давно вычислены и находятся в полном распоряжении этих госструктур.

     В лучшем случае подобная участь (работа на госструктуры на условиях, от которых невозможно отказаться) ждёт любого из вас. В худшем (по достижении критического уровня количества пострадавших) — люди в масках с автоматами, выламывающие дверь, суд, тюрьма. Возможен и другой вариант, достойный сценария голливудского блокбастера: один из серьёзно пострадавших от ваших действий в один прекрасный день оказывается в вашем окружении, становится лучшим другом, которому вы проговариваетесь о создании xtbl-шифровальщика; или ставит задачу о получении работы в соответствующих госструктурах, реализует её и получает доступ к технологиям поиска злоумышленников и информации о вас — и всё заканчивается резнёй бензопилой.

     В общем, хорошо подумайте над тем, стоит ли приобретать себе врагов, возможности которых по вашему поиску и наказанию вы очень плохо представляете и сильно недооцениваете. Хоть закон на ваши действия устанавливает срок давности, но отдельный человек будет помнить столько, сколько потребуется. Рекомендую закончить с противозаконной деятельностью в сфере информационных технологий, принести извинения всем пострадавшим пользователям (особенно работникам сельского хозяйства, лёгкой промышленности, строительной сферы и пр., благодаря которым работники других сфер и имеют возможность делать то, что они делают; перед банкирами и финансистами можно не извиняться — не заслуживают), выслать им программы и ключи расшифровки. И да, в качестве доказательства того, что вы отвечаете за свои слова, пришлите мне контакты нескольких пострадавших пользователей, которые, заплатив вам, получили программы и ключи расшифровки и вернули свои файлы (можете прислать их сами, с образцами зашифрованных файлов).

     И до встречи. Через день, через неделю, через месяц, через год или через десять лет, в Новый год, в очередной юбилей, в годовщину свадьбы, в день появления на свет сына или дочки, в день похорон матери или отца, в самый счастливый день в жизни, когда будет казаться, что она полностью удалась и на горизонте — только светлое безоблачное будущее.

 

--------------------------------------------

On Sun, 2/15/15, incode decode <deshifrovka@india.com> wrote:

Subject: RE: RE: Re: Ваши файлы были зашифрованы.

To: "John St" <stjohn1982@yahoo.com>

Date: Sunday, February 15, 2015, 9:28 AM

 

Кошелек QIWI: 79688616159

Примечание:8777

Обязательно сохраняйте фото чека

 

At 15 Feb 2015 01:03:32 +0000 (UTC) from John St <stjohn1982@yahoo.com>:

 

     Куда платить?

 

--------------------------------------------

 

On Sat, 2/14/15, incode decode <deshifrovka@india.com> wrote:

Subject: RE: Re: Ваши файлы были зашифрованы.

To: "John St" <stjohn1982@yahoo.com>

Date: Saturday, February 14, 2015, 10:00 AM

 

Расшифровали

 

At 13 Feb 2015 20:05:12 +0000 (UTC) from John St <stjohn1982@yahoo.com>:

 

     Так ведь выслал в первом письме. Внимательно посмотрите прикреплённые к нему файлы.

 

--------------------------------------------

 

On Thu, 2/12/15, Дешифровка Файлов <deshifrator01@gmail.com> wrote:

Subject: Re: Ваши файлы были зашифрованы.

To: "John St" <stjohn1982@yahoo.com>

Date: Thursday, February 12, 2015, 11:42 PM

 

Стоимость дешифровки 7000р.

Пришлите 1 файл и мы расшифруем в качестве подтверждения того что файлы могут быть восстановлены.

В течение от 5 минут до часа с момента оплаты вышлем программу и ключ которая в точности вернет все как было.

 

On Thu, Feb 12, 2015 at 8:33 PM, John St <stjohn1982@yahoo.com> wrote:

 

     Ловите.

Сообщение было изменено Silent John: 13 Март 2015 - 03:00

[Silent John]

Переписка с deshifrator01@gmail.com:

 

--------------------------------------------

 

On Fri, 3/6/15, John St <stjohn1982@yahoo.com> wrote:

 

Subject: Re: Re: Ваши файлы были зашифрованы.

To: "Дешифровка Файлов" <deshifrator01@gmail.com>

Cc: "incode decode" <deshifrovka@india.com>

Date: Friday, March 6, 2015, 12:37 AM

 

     К Борису Ефимовичу Немцову тоже не домой пришли.

     Не будьте наивными дилетантами — 21-й век на дворе: всю работу по анализу сетевой активности осуществляют суперкомпьютеры с продвинутым искусственным интеллектом (солдат спит — служба идёт). Поймите, существует взаимно однозначное соответствие между картиной происходящего в сети и физическими параметрами (включая географическое местоположение) находящихся в ней пользователей, благодаря чему в том числе я могу читать ваши письма, а вы — мои. Так работают законы физики.

     Когда я прочитал краткую историю создания и существования той же Tor, то с трудом удержался от того, чтобы не разразиться смехом до боли в животе:

 

     «Система Tor была создана в «Центре высокопроизводительных вычислительных систем» Исследовательской лаборатории Военно-морских сил США в рамках проекта Free Haven совместно с DARPA по федеральному заказу. В 2002 году эту разработку решили рассекретить, а исходные тексты были переданы независимым разработчикам, которые создали клиент-серверное приложение и опубликовали его под свободной лицензией, чтобы все желающие могли провести проверку на отсутствие ошибок и закладок.

     О поддержке проекта объявила правозащитная организация Electronic Frontier Foundation, которая начала активно пропагандировать новую систему и прилагать значительные усилия для максимального расширения сети. Существенную финансовую помощь Tor оказывают Министерство обороны и Государственный департамент США, а также Национальный научный фонд. По состоянию на конец 2014 года Tor имеет более 6500 узлов сети, разбросанных по всем континентам Земли, кроме Антарктиды, а число участников сети, включая ботов, превышает 2,5 миллиона.»

 

     2,5 миллиона участников под полным контролем Министерства обороны и Государственного департамента США. Естественно, когда кто-то из участников совершает противозаконное деяние, к мгновенной и мощной реакции военные по понятным причинам не прибегают — все облекают в нужный момент в более обыденную форму.

     Вряд ли вы много заработаете: требование выслать программы и ключи расшифровки, образцы зашифрованных файлов пользователей (или контактные данные этих пользователей), получивших 100 %-ный результат после оплаты, позволяет легко вывести вас и ваших коллег на чистую воду (что я, как вы понимаете, уже сделал) и лишить смысла создание вирусов-шифровальщиков с целью вымогательства.

     Удачи вам. Изучайте физику — это удержит вас от совершения прочих глупостей.

 

--------------------------------------------

 

On Thu, 3/5/15, Дешифровка Файлов <deshifrator01@gmail.com> wrote:

Subject: Re: Re: Ваши файлы были зашифрованы.

To: "John St" <stjohn1982@yahoo.com>

Date: Thursday, March 5, 2015, 11:31 AM

 

Мы Вас прочитали, статья не плохая, но и с домашнего интернета никто не сидит))

Найти нереально)

Долго заниматься этим никто не будет

Удачи

 

3 марта 2015 г., 9:10 пользователь John St <stjohn1982@yahoo.com> написал:

 

     Дамы и господа, леди и джентльмены, ребята и девчата.

     ... (см. предыдущий пост)

 

--------------------------------------------

 

On Sun, 2/15/15, Дешифровка Файлов <deshifrator01@gmail.com> wrote:

Subject: Re: Re: Ваши файлы были зашифрованы.

To: "John St" <stjohn1982@yahoo.com>

Date: Sunday, February 15, 2015, 9:08 AM

 

Кошелек QIWI: 79688616037

Примечание :87667

Обязательно сохраняйте чек

 

2015-02-15 1:02 GMT+00:00 John St <stjohn1982@yahoo.com>:

 

     Куда платить?

 

--------------------------------------------

 

On Sat, 2/14/15, incode decode <deshifrovka@india.com> wrote:

Subject: RE: Re: Ваши файлы были зашифрованы.

To: "John St" <stjohn1982@yahoo.com>

Date: Saturday, February 14, 2015, 10:00 AM

 

Расшифровали

 

At 13 Feb 2015 20:05:12 +0000 (UTC) from John St <stjohn1982@yahoo.com>:

 

     Так ведь выслал в первом письме. Внимательно посмотрите прикреплённые к нему файлы.

 

--------------------------------------------

 

On Thu, 2/12/15, Дешифровка Файлов <deshifrator01@gmail.com> wrote:

Subject: Re: Ваши файлы были зашифрованы.

To: "John St" <stjohn1982@yahoo.com>

Date: Thursday, February 12, 2015, 11:42 PM

 

Стоимость дешифровки 7000р.

Пришлите 1 файл и мы расшифруем в качестве подтверждения того что файлы могут быть восстановлены.

В течение от 5 минут до часа с момента оплаты вышлем программу и ключ которая в точности вернет все как было.

 

On Thu, Feb 12, 2015 at 8:33 PM, John St <stjohn1982@yahoo.com> wrote:

 

     Ловите.

[Silent John]

     Естественно, никаких программ и ключей расшифровки, образцов зашифрованных файлов пользователей (или контактных данных этих пользователей), получивших 100 %-ный результат после оплаты, я не получил. Наверное потому, что таких пользователей нет.

[HHH]

Silent John, зачем всё это здесь? Хотите я вам пришлю всё, что вы просите? Сколько вам надо пользователей? 10 человек устроит? Больше мне просто лень регистрировать e-mail-ов.

 

На самом деле всё очень просто. Если вам ваши файлы сильно нужны, вы платите. Даже если 50/50 или 90/10, что они ничего не расшифруют, вы всё равно платите. Потому, что файлы нужны(!) вам(!).

А если файлы нужны не очень, то НЕ платите. И в таком случае вы им не интересны.

 

Такой вот "бизнес".

Сообщение было изменено HHH: 13 Март 2015 - 12:24

[VVS]

Serg_o_Grey, ещё 1 просьба к кому-нибудь заняться рассылкой вирусов (что является уголовно наказуемым преступлением) и мы с Вами попрощаемся.

Модератор.