143 ответов в этой теме

[negodyay]

а по сети данная зараза сама распространяется? или только 1 компьютер страдает?

[thyrex]

Перебираются все диски,  И если буква совпала с буквой сетевого, ждите беду

[CaHeK_911]

paycrypt@gmail_com   по алгоритму RSA1024

 

Нашли решение проблемы? 

[v.martyanov]

paycrypt@gmail_com   по алгоритму RSA1024

 

Нашли решение проблемы? 

Давно и не мы: резервное копирование.

[Ria]

Столкнулась с той же проблемой - словила через почту paycrypt@gmail_com... Всё, что он у меня зашифровал, особой ценности не представляет, и платить я этим уродам не собираюсь, но мне, как среднему пользователю ПК, нужен ваш совет: что делать, чтобы эта зараза не распространялась дальше? Я просканировала полностью комп, выловила вирус, а дальше? Помогает ли простое лечение/удаление/что там ещё, чтобы в дальнейшем  пайкрипт больше не навредил ни мне, ни кому-то ещё (вдруг он и через мою почту без моего ведома по адресной книге разошлет инфицированные письма)? Или, кроме удаления/помещения в карантин, нужно что-то ещё?

[v.martyanov]

Написал предыдущим сообщением - резервное копирование.

[Grid001]

В общем произошла ситуация и со мной. Пообщался с этими горе хакерами. Никакого ключа они высылать и не собирались. А просто вытягивают деньги. А те кто пишет якобы об успешных расшифровках кучи файлов, судя по всему их же люди.

 

Печально конечно, но впредь будем умнее.

[v.martyanov]

По pzdc, вероятно, будет решение!

[thyrex]

А те кто пишет якобы об успешных расшифровках кучи файлов, судя по всему их же люди

Это сугубо Ваше мнение  Видимо, грубо с ними разговаривали

Мне прислали дешифратор. Я проверил его на файлах другого пострадавшего. И он сработал

Сообщение было изменено thyrex: 16 Июль 2014 - 20:01

[temp661]

Почитал форумы, сложилось впечатление, что один дешифратор подходит для всех. Если не жаль, может кто-нибудь выслать комплект для расшифровки на temp661@yandex.ru ? Обещаю отписаться о результатах ))

[thyrex]

Почитал форумы, сложилось впечатление, что один дешифратор подходит для всех

Неверное впечатление. Большинство версий использует уникальные ключи, которые в зашифрованном виде сбрасываются на компьютер пользователей

[Черномор]

Здравствуйте. Приятно видеть что по всем смежным форумам, качуют те-же люди. Определенно радует участие сообщества и наличия в нём, специалистов именно по шифровальщикам. Спасибо!

Я, в силу своих способностей, начал ковырять инициирующий шифрование gpg скрипт, привёл его в читабельный вид, но не совсем разобрался со "стартовым комплектом поставки" (интересно происхождение "secrypt.like") и с разделом, отвечающим за повторный прогон шифрования ключа и получения "secring.gpg.gpg" и. Моя цель - окончательно понять алгаритмы работы этой заразы и восстановить ту часть моих данных, которую успели зашифровать. Последнее конечно возможно только, при успешном восстановлении ключа. Как оцениваете шансы? А пока, читаю маны по GnuPG...и надеюсь на выход официального дешифратора.

[VVS]

Здравствуйте. Приятно видеть что по всем смежным форумам, качуют те-же люди. Определенно радует участие сообщества и наличия в нём, специалистов именно по шифровальщикам. Спасибо!
Я, в силу своих способностей, начал ковырять инициирующий шифрование gpg скрипт, привёл его в читабельный вид, но не совсем разобрался со "стартовым комплектом поставки" (интересно происхождение "secrypt.like") и с разделом, отвечающим за повторный прогон шифрования ключа и получения "secring.gpg.gpg" и. Моя цель - окончательно понять алгаритмы работы этой заразы и восстановить ту часть моих данных, которую успели зашифровать. Последнее конечно возможно только, при успешном восстановлении ключа. Как оцениваете шансы?

шансы == 0

[v.martyanov]

Ну все же не ноль, но спецы нужно очень неслабые, я в сам gpg лезть не планирую пока.

[Черномор]

Прошу прощения, за полемику с модератом, но можно более развёрнутый ответ?

Шансы = 0, по тому что - ....

Я, на вскидку, вижу 3 прогона на затирание, строчками и copy/move.

Неожиданно, был найден затертый файл secrypt в Temporary Internet Files размером 673 байта. Содержит строчки признака адресата из скрипта, но как-то на ключ не похоже. Можете прояснить происхождение?

Сообщение было изменено Черномор: 17 Июль 2014 - 11:01

[v.martyanov]

Шансы почти нулевые, потому что атака "в лоб" на RSA по публичному ключу длиной 1024 бита - гиблое дело. Другие векторы атаки - тоже непростое дело, но пока не доказана их бесполезность - шансы все же отличны от нуля.

[Черномор]

Так следует ли ждать официального декриптора, по разновидности оставляющей "PAYCRYPT@GMAIL_COM"?

[v.martyanov]

Так следует ли ждать официального декриптора, по разновидности оставляющей "PAYCRYPT@GMAIL_COM"?

Можете ждать, можете не ждать :-)

 

Короче, *.pzdc побежден, тема по нему - http://forum.drweb.com/index.php?showtopic=318058

PS. *.crypt на GPG тоже можем расшифровать в некоторых случаях.

Сообщение было изменено v.martyanov: 17 Июль 2014 - 12:21

[skip]

День добрый!

Сотрудница открыла ссылку на paycrypt_gmail_com.

Через пару минут позвала меня, я выключил питание компа и изъял диск.

 

1) В Temp найдены файлы:

 

DEC01 (472064)
DEC02 (456947)
DECODE.zip (929011)
document.doc (49664)
KEY.PRIVATE (971)
pycrp.bin (13)
secring.gpg.gpg (971)
trustdb.gpg (1240)

PAYCRYPT_GMAIL_COM.txt (3464)

etilqs_I8jVQw3o61offRV (32768)

etilqs_cXpjUXHtt8VSuUd (512)

etilqs_bb0lp4MrZwkghzG (0)

 

2) Имеется оригинал документа и его зашифрованная версия.

 

Можно ли узнать ключ, сложив 1 и 2?

Сообщение было изменено skip: 17 Июль 2014 - 13:02

[v.martyanov]

День добрый!

Сотрудница открыла ссылку на paycrypt_gmail_com.

Через пару минут позвала меня, я выключил питание компа и изъял диск.

 

1) В Temp найдены файлы:

 

DEC01 (472064)
DEC02 (456947)
DECODE.zip (929011)
document.doc (49664)
etilqs_I8jVQw3o61offRV (32768)
KEY.PRIVATE (971)
pycrp.bin (13)
secring.gpg.gpg (971)
trustdb.gpg (1240)

PAYCRYPT_GMAIL_COM.txt (3464)

etilqs_cXpjUXHtt8VSuUd (512)

etilqs_I8jVQw3o61offRV (32768)

etilqs_bb0lp4MrZwkghzG (0)

 

2) Имеется оригинал документа и его зашифрованная версия.

 

Можно ли узнать ключ сложив 1 и 2?

Нет, нельзя. Вся современная криптография такова, что узнать ключ по паре файлов нельзя.