Перейти к содержимому


Фото
- - - - -

Зашифрованы файлы, *.hardended, *.itstimetopay, *.darkness


  • Please log in to reply
97 ответов в этой теме

#1 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 27 Август 2013 - 13:18

Признаки заражения: Имеются три варианта:

*.hardended, контактный email - hardended.steel@hushmail.com

*.itstimetopay, контактный email - itstimetopay@hushmail.com

*.darkness, контактный email - DARKNESS.1024@aol.com

Если ваш вариант ни под один из вариантов не подходит - вам в другую тему.

 

Информация по трояну: Trojan.Encoder.263. Куча разных модификаций, которые сложно отличить друг от друга, поэтому описано три ветви.

 

Криптография: hardended - RSA. В остальных может быть как RSA, так и AES или Twofish. AES и Twofish расшифровать можем.

 

Расшифровка: Возможна для части случаев *.itstimetopay и *.darkness Утилита - в техподдержке.

 

Что необходимо сделать:

- озаботиться информационной безопасностью ваших машин.

- обратиться с заявлением о совершенном преступлении в правоохранительные органы.

- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 зашифрованный doc-файл. Дожидаться ответа на Вашу почту сотрудника Dr.Web и далее следовать его указаниям. Вдруг сделаем расшифровку - тогда будем сообщать.

 

Что НЕ нужно делать:
- менять расширение у зашифрованных файлов;
- использовать самостоятельно без консультации с сотрудниками Dr. Web любые программы для расшифровки/восстановления данных.

- Чистить или лечить машину чем либо: удалять/переименовывать какие-либо файлы, чистить почту, временные файлы и т.д.


Сообщение было изменено v.martyanov: 25 Октябрь 2013 - 10:49

Личный сайт по Энкодерам - http://vmartyanov.ru/


#2 zatochkin

zatochkin

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 23 Сентябрь 2013 - 10:49

Могу прислать файл которым заразился и файл который прислали, чтобы вылечиться.



#3 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 23 Сентябрь 2013 - 12:37

Могу прислать файл которым заразился и файл который прислали, чтобы вылечиться.

Увы, это не поможет сделать нам расшифровку :-(


Личный сайт по Энкодерам - http://vmartyanov.ru/


#4 vvatin

vvatin

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 23 Сентябрь 2013 - 15:23

Расшифровка: Подозреваю, что невозможна. Точнее, шансы на то, что я ее сделаю в нынешней ситуации крайне малы.

Шансы на расшифровку не выросли с 9 сентября? Что нужно для их повышения?



#5 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 23 Сентябрь 2013 - 16:22

 

Расшифровка: Подозреваю, что невозможна. Точнее, шансы на то, что я ее сделаю в нынешней ситуации крайне малы.

Шансы на расшифровку не выросли с 9 сентября? Что нужно для их повышения?

 

Более мощное железо нужно.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#6 vvatin

vvatin

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 24 Сентябрь 2013 - 08:37

Я правильно понимаю, что на имеющемся железе расшифровка возможна и будет, просто нужно больше времени?



#7 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 24 Сентябрь 2013 - 11:26

Я правильно понимаю, что на имеющемся железе расшифровка возможна и будет, просто нужно больше времени?

Не будет: пара лет, по предварительным прикидкам - не тот срок. Учитывая, что через два года к нам могут обратиться с вопросом "А почему ничего не вышло?".


Личный сайт по Энкодерам - http://vmartyanov.ru/


#8 xZabey

xZabey

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 24 Сентябрь 2013 - 13:33

Encoder ITSTIMETOPAY.txt

Появился после запуска файла с резюме

 

Контакты: itstimetopay@hushmail.com
В письме укажите ваш ID:607862942146
Обращения после 26.09.2013 будут игнорироваться.

 

Что от меня нужно?



#9 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 24 Сентябрь 2013 - 13:34

Encoder ITSTIMETOPAY.txt

Появился после запуска файла с резюме

 

Контакты: itstimetopay@hushmail.com
В письме укажите ваш ID:607862942146
Обращения после 26.09.2013 будут игнорироваться.

 

Что от меня нужно?

Прочитать первый пост в этой теме.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#10 xZabey

xZabey

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 24 Сентябрь 2013 - 13:54

 

Encoder ITSTIMETOPAY.txt

Появился после запуска файла с резюме

 

Контакты: itstimetopay@hushmail.com
В письме укажите ваш ID:607862942146
Обращения после 26.09.2013 будут игнорироваться.

 

Что от меня нужно?

Прочитать первый пост в этой теме.

 

Так как не являюсь активным пользователем коммерческой версии программы оставить информацию о проблеме нет возможности

 

еще доп. информация:

в папке пользователя лежат файлы:
-AdobeStlSys.exe
-ITSTIMETOPAY.txt
-Resume.pdf.itstimetopay
 
Часть файлов зашифрована, часть просто дублирована с соответствующим расширением


#11 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 24 Сентябрь 2013 - 13:59

Так как не являюсь активным пользователем коммерческой версии программы

на нет и суда нет.увы.


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#12 xZabey

xZabey

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 24 Сентябрь 2013 - 14:01

 

Так как не являюсь активным пользователем коммерческой версии программы

на нет и суда нет.увы.

 

:facepalm:



#13 WhiteDiver

WhiteDiver

    Newbie

  • Posters
  • 24 Сообщений:

Отправлено 26 Сентябрь 2013 - 13:29

Могу прислать файл которым заразился и файл который прислали, чтобы вылечиться.

Не подскажите сколько это вам стоило?

 

Тоже подверглись заражению этой гадостью, в данный момент восстанавливаемся из бэкапов и проводим организационные мероприятия, для уменьшения рисков повторного заражения =((



#14 WhiteDiver

WhiteDiver

    Newbie

  • Posters
  • 24 Сообщений:

Отправлено 27 Сентябрь 2013 - 06:36

Более мощное железо нужно.

 

А почему бы не сделать собственную "добровольную" бот нет сеть, для коллективных вычислений ?)



#15 led116

led116

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 27 Сентябрь 2013 - 09:29

Помогите с расшифровкой

имею лицензию ...

есть ли шанс верннуть файлы?



#16 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 27 Сентябрь 2013 - 09:32

Помогите с расшифровкой

имею лицензию ...

есть ли шанс верннуть файлы?

 

http://forum.drweb.com/index.php?showtopic=315043#entry685607


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#17 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 27 Сентябрь 2013 - 11:39

 

Более мощное железо нужно.

 

А почему бы не сделать собственную "добровольную" бот нет сеть, для коллективных вычислений ?)

 

Долго, сложно, некогда. Выбирайте любые два :-) Но в каждой доле шутки...


Личный сайт по Энкодерам - http://vmartyanov.ru/


#18 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 28 Сентябрь 2013 - 21:04

Кажется, есть прогресс. По крайней мере вероятность расшифровки для itstimetopay в течении пары недель с почти нуля повысилась до примерно 1/8. В понедельник буду проверять...


Личный сайт по Энкодерам - http://vmartyanov.ru/


#19 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 30 Сентябрь 2013 - 10:58

Кажется, есть прогресс. По крайней мере вероятность расшифровки для itstimetopay в течении пары недель с почти нуля повысилась до примерно 1/8. В понедельник буду проверять...

Лошара я, это для другого трояна я придумал как можно его пробовать побороть.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#20 xZabey

xZabey

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 30 Сентябрь 2013 - 13:23

 

Кажется, есть прогресс. По крайней мере вероятность расшифровки для itstimetopay в течении пары недель с почти нуля повысилась до примерно 1/8. В понедельник буду проверять...

Лошара я, это для другого трояна я придумал как можно его пробовать побороть.

 

:(  :(  :(




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых