Перейти к содержимому


Фото
* * * * * 1 Голосов

Зашифрованы файлы, decryptor2013@gmail.com, ironman.tony.stark.co@gmail.com, kraken.octopus.7dd@gmail.com и другие


  • Please log in to reply
222 ответов в этой теме

#21 VVS

VVS

    The Master

  • Moderators
  • 17 501 Сообщений:

Отправлено 05 Август 2013 - 09:16

Андрей Вятский, 3 дня RO.

Модератор.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#22 vscooter

vscooter

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 05 Август 2013 - 16:39

Добрый день.

 

В результате действия трояна с мылом ironman.tony.stark.co@gmail.com

пострадали несколько сотен аудиофайлов в формате raw

 

 Если я куплю платный dr Web и зарегистрирую его, могу ли я получить некую утилиту для дешифровки пострадавших файлов? Высылать их для дешифровки по одному нереально.



#23 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 05 Август 2013 - 16:40

Если признаки заражения совпадают - сможете.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#24 alexxcha

alexxcha

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 05 Август 2013 - 21:33

Утилита не помогла...

после 24 часов подбора - завершила работу с сообщением - невозможно подобрать ключ.

Что делать?

 

И еще вопрос - в сообщении злоумышленников есть какая то тех информация - почему в утилите она не используется?


Сообщение было изменено alexxcha: 05 Август 2013 - 21:37


#25 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 05 Август 2013 - 21:45

alexxcha, Спросите всё в своем тикете ТП. Вы же понимаете, что в открытых источниках (тут) Вам никто по существу отвечать не будет.



#26 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 05 Август 2013 - 21:50

И еще вопрос - в сообщении злоумышленников есть какая то тех информация - почему в утилите она не используется?

 

Пишите заяву в отдел К.

Там она будет использована.


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#27 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 13 Август 2013 - 19:40

Раньше я думал, что троянов всего два. Теперь выясняется что минимум 4 (!!!)...


Личный сайт по Энкодерам - http://vmartyanov.ru/


#28 MyAddressSU

MyAddressSU

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 14 Август 2013 - 12:48

Владимир,

таки есть надежда на расшифровку?

 



#29 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 14 Август 2013 - 12:48

Есть. Сейчас перерабатываю утилиту и добавляю второй попавшийся в руки вариант шифрования.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#30 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 14 Август 2013 - 15:32

Утилита скоро будет выпущена. Я пересмотрю все тикеты, которые к нам прислал саппорт. Если кто-то с проблемами не получит ответа от саппорта - запросите их. Тикетов и вариантов много, легко можно что-то пропустить :-(


Личный сайт по Энкодерам - http://vmartyanov.ru/


#31 warlock_hostel5

warlock_hostel5

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 14 Август 2013 - 18:13

В моем тикете последяя активность 10.08 09:31:24, отписался про неудачу в подборе ключа, ждем новую версию...



#32 warlock_hostel5

warlock_hostel5

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 14 Август 2013 - 18:32

Раньше я думал, что троянов всего два. Теперь выясняется что минимум 4 (!!!)...

 

Варианты шифрования отличаются в пределах одной пары признаков (расширение .locked, контактный email - decryptor2013@gmail.com)?

Это мой случай и расшифровка была неудачна ((



#33 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 15 Август 2013 - 11:11

 

Раньше я думал, что троянов всего два. Теперь выясняется что минимум 4 (!!!)...

 

Варианты шифрования отличаются в пределах одной пары признаков (расширение .locked, контактный email - decryptor2013@gmail.com)?

Это мой случай и расшифровка была неудачна ((

 

Тогда вам нужно сообщить это в тикете и сразу в тикет приложить текстовый файл от трояна В АРХИВЕ.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#34 warlock_hostel5

warlock_hostel5

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 15 Август 2013 - 15:56

Тогда вам нужно сообщить это в тикете и сразу в тикет приложить текстовый файл от трояна В АРХИВЕ.

Текстовик приложен был еще в самом начале переписки, потом логи, попробовали повторно дешифровать, неудачно ((, отписался об этом и пока все, больше вариантов действий не предлагалось...

 

P.S. Про варианты шифрования это вопрос был. По всем признакам заражение самой первой версией было.


Сообщение было изменено warlock_hostel5: 15 Август 2013 - 15:59


#35 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 16 Август 2013 - 11:37

Появилась новая версия Kraken! Улыбаемся и машем!!!


Личный сайт по Энкодерам - http://vmartyanov.ru/


#36 VIGO

VIGO

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 17 Август 2013 - 09:36

Добрый день! Появится ли новый дешефратор, просто то что написала тех. поддержка не помогает, уже прошло 98% и я думаю что дешефратор не справится? Есть ли шанс востановить информацию ?


Сообщение было изменено VIGO: 17 Август 2013 - 09:37


#37 АБВГД

АБВГД

    Newbie

  • Posters
  • 59 Сообщений:

Отправлено 17 Август 2013 - 09:48

Добрый день! Появится ли новый дешефратор, просто то что написала тех. поддержка не помогает, уже прошло 98% и я думаю что дешефратор не справится? Есть ли шанс востановить информацию ?

 

Ребята, такая же примерно проблема, но по ходу, я сам ошибся - нам сказали с ключём запустить (запрос в ТП делал напарник), а я по ходу запустил без него - есть подозрение, что параметры командной строки не были переданы. Времени прошло дофига и больше - пароль не найден.

 

Вопрос: если запустить присланный файл без параметров - результат будет? Или можно смело прибить процесс и запускать новый с параметрами?

 

Тушку вируса отловил. Др.Веб версии 8.2 базы актуальные на тело вируса никак не реагирует (!). Актуальность вируса - менее суток.



#38 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 351 Сообщений:

Отправлено 17 Август 2013 - 10:55

АБВГД, а тушку отправили в вирлаб? Номер тикета приведите?



#39 АБВГД

АБВГД

    Newbie

  • Posters
  • 59 Сообщений:

Отправлено 17 Август 2013 - 11:17

АБВГД, а тушку отправили в вирлаб? Номер тикета приведите?

 

Отправил недавно активатор + записку - там сами наверное отследят откуда что берётся #4298001.

На виртуальной машине попробовал позаражать специально (ну чем ещё заниматься в выходные, когда пришлось работать) - заражается комп.

Каспера попробовал с rectordecryptor - вообще бесполезная в этом случае тулза (на данный момент) - не тратье время зря.

Аваста в рассчёт не берём, поэтмоу остался есет. Судя по тому, как на форуме поддержки у них регаируют на обращения - результат будет ожидаемым.

 

Вы мне скажите - параметры обязательно передавать при запуске? Это к тому - грохать мне процесс или нет всё же?

И вот ещё вопрос возник: для подбора пароля утилите нужны какие-то запчасти ворда (OLE),  или её можно запустить для поиска на другом компьютере? Я просто смотрю, у нас сервер есть с нагрузкой идле, может на него поставить - он куда быстре будет решать задачи.



#40 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 17 Август 2013 - 13:34

Вы мне скажите

Тут только один человек владеет полной информацией - автор утилит. А его на форуме нет в данный момент.




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых