Признаки заражения: Файлы зашифрованы, дополнительные расширения *.paycrypt@gmail_com, *.unstyx@gmail_com и *.unblck@gmail_com, *.keybtc@gmail_com. Если у вас другие расширения - вам в другую тему.
Информация по трояну: BAT.Encoder.2. Распространение этого трояна началось в середине мая 2014 года, но модификация с расширением *.paycrypt@gmail_com могла появиться позже.
Расширение *.keybtc@gmail_com к файлам дописывает BAT.Encoder.23, его распространение началось 06.08.2014, вторая волна - 25.08.2014
Криптография: GPG. Для paycrypt@gmail_com известны такие ключи: F107EA9F/E578490A и F05CF9EE/3ED78E85. Для unblck@gmail_com известен ключ F107EA9F/E578490A. Для unstyx@gmail_com известны ключи F107EA9F/E578490A и 01270FE6/F3E75FD0
Для *.keybtc@gmail_com известен ключ A3CE7DBE
Расшифровка: возможна для некоторых вариантов, которые идентифицируются по ID ключа:
F05CF9EE/3ED78E85 - нет расшифровки.
A3CE7DBE/AAB62875 - нет расшифровки. Но известен 1 случай, когда с этим ключом и *.keybtc@gmail_com расшифровка получилась!
AAB62875 - нет расшифровки.
F107EA9F/E578490A - есть расшифровка
3DF229D3 - есть расшифровка
01270FE6/F3E75FD0 - есть расшифровка
Про получение ID ключа - читайте RFC
Что необходимо сделать:
- озаботиться информационной безопасностью ваших машин.
- обратиться с заявлением о совершенном преступлении в правоохранительные органы.
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 зашифрованный файл и файлы key.private. Дожидаться ответа на Вашу почту сотрудника Dr.Web и далее следовать его указаниям.
Что НЕ нужно делать:
- менять расширение у зашифрованных файлов.
- удалять любые файлы, чистить или переставлять систему.
- трогать файл key.private
Сообщение было изменено v.martyanov: 22 Октябрь 2014 - 14:29
keybtc@gmail_com