647 Antworten zu diesem Thema

[v.martyanov]

Признаки трояна: email для связи с авторами marikol8965@yahoo.com, расширение файлов marikol8965@yahoo.com. Если хоть один признак не совпадает - вам в другую тему.

 

Распространение началось 17.06.2013. Модификация 225-го, добавлено дополнительное шифрование данных. В связи с этим сложность подбора повышена. Более того, существует 2 варианта трояна, отличить которые очень проблематично и у которых по разному генерится пароль.

Расшифровка ВОЗМОЖНА! Подбор параметров расшифровки многоэтапный, требует зашифрованного doc-файла. Первый этап - 2-3 часа. Затем в несколько этапов пытаемся подобрать ключ. После этих этапов начнется расшифровка всех файлов.

 

Если у Вас зашифрованы файлы,

Что НЕ нужно делать:
- менять расширение у зашифрованных файлов;
- использовать самостоятельно без консультации с сотрудниками Dr. Web любые программы для расшифровки/восстановления данных.

Что необходимо сделать:
- Обратиться через форму https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 к специалистам Dr.Web для получения программы для расшифровки файлов.

- Обратиться в полицию по поводу произошедшего преступления

- Озаботиться причинами произошедшего и принять меры к ужесточению политик ИБ.

 

PS. Обсуждать как и чем расшифровывать данные - куда-нибудь в другое место.

Bearbeitet von v.martyanov, 15 August 2013 - 12:08,

[needtohelp]

Вчера заразилась этим вирусом, в фале Расшифровать.txt была такая информация:

 

Ваши файлы (.doc,.xls,.pdf, базы данных и т.д.) были зашифрованы криптостойким алгоритмом, расшифровать их можно только имея уникальный для вас дешифратор файлов.

Если вы заинтересованы в расшифровке ваших файлов свяжитесь с нами по email:

Стоимость расшифровки файлов 5000 рублей

marikol8965@yahoo.com

Также если вы хотите убедится в том, что мы действительно сможем расшифровать ваши файлы, вы можете приложить любой небольшой файл, и ID из файла C:\РАСШИФРОВАТЬ.TXT и мы его вам расшифруем (базы данных для теста не расшифровываем!).



ВНИМАНИЕ! У ВАС ЕСТЬ НЕДЕЛЯ ДЛЯ ПРИНЯТИЯ РЕШЕНИЯ О ПОКУПКЕ ДЕШИФРАТОРА, ДАЛЕЕ МЫ УДАЛЯЕМ ПАРОЛЬ ДЛЯ РАСШИФРОВКИ ВАШИХ ФАЙЛОВ, ДАЛЕЕ ИХ РАСШИФРОВАТЬ БУДЕТ НЕВОЗМОЖНО!



----

ID:382777D3

----
Я отправила им шифрованный файл вчера, сегодня пришел дешефрованный, выложу на файлообменник - может быть поможете в лечении...

http://zalil.ru/34589266

[needtohelp]

Отправила вам файлы(шифрованные и после расшифровки) - тикет #4176317... Очень нужны файлы... спасибо заранее за помощь

[Beavis_cool]

Такая же штука. 

Ваши файлы (.doc,.xls,.pdf, базы данных и т.д.) были зашифрованы криптостойким алгоритмом, расшифровать их можно только имея уникальный для вас дешифратор файлов.

 

Если вы заинтересованы в расшифровке ваших файлов свяжитесь с нами по email:

 

Стоимость расшифровки файлов 5000 рублей

 

marikol8965@yahoo.com

 

Также если вы хотите убедится в том, что мы действительно сможем расшифровать ваши файлы, вы можете приложить любой небольшой файл, и ID из файла C:\РАСШИФРОВАТЬ.TXT и мы его вам расшифруем (базы данных для теста не расшифровываем!).

 

 

 

ВНИМАНИЕ! У ВАС ЕСТЬ НЕДЕЛЯ ДЛЯ ПРИНЯТИЯ РЕШЕНИЯ О ПОКУПКЕ ДЕШИФРАТОРА, ДАЛЕЕ МЫ УДАЛЯЕМ ПАРОЛЬ ДЛЯ РАСШИФРОВКИ ВАШИХ ФАЙЛОВ, ДАЛЕЕ ИХ РАСШИФРОВАТЬ БУДЕТ НЕВОЗМОЖНО!

 

 

 

----

 

ID:C8187812

 

 

 

Фаил отправил. номер тикета [drweb.com #4176367]

 

Во вложении пример зашифрованного файла

 

Angehängte Bilder

•  Текстовый документ.txt.marikol8965@yahoo.rar   153Bytes   8 Anzahl Downloads

[nicodinus]

тоже сообщение, с другим ID

Ваши файлы (.doc,.xls,.pdf, базы данных и т.д.) были зашифрованы криптостойким алгоритмом, расшифровать их можно только имея уникальный для вас дешифратор файлов.

 

Если вы заинтересованы в расшифровке ваших файлов свяжитесь с нами по email:

 

Стоимость расшифровки файлов 5000 рублей

 

marikol8965@yahoo.com

 

Также если вы хотите убедится в том, что мы действительно сможем расшифровать ваши файлы, вы можете приложить любой небольшой файл, и ID из файла C:\РАСШИФРОВАТЬ.TXT и мы его вам расшифруем (базы данных для теста не расшифровываем!).

 

 

 

ВНИМАНИЕ! У ВАС ЕСТЬ НЕДЕЛЯ ДЛЯ ПРИНЯТИЯ РЕШЕНИЯ О ПОКУПКЕ ДЕШИФРАТОРА, ДАЛЕЕ МЫ УДАЛЯЕМ ПАРОЛЬ ДЛЯ РАСШИФРОВКИ ВАШИХ ФАЙЛОВ, ДАЛЕЕ ИХ РАСШИФРОВАТЬ БУДЕТ НЕВОЗМОЖНО!

 

 

 

----

 

ID:D8093E4C

 

----

 

Могу прислать оригинальный файл и шифрованный, оригинальный файл - из инсталятора программы, в изначальном виде, в котором он и должен быть.

Таких файлов есть три пары, они малого объема так что они быстро обработаются. 

[v.martyanov]

Дело НЕ в объеме файлов. Объем файлов на подбор ключа практически не влияет.

[needtohelp]

Дело НЕ в объеме файлов. Объем файлов на подбор ключа практически не влияет.

Извините, а как скоро можно будет узнать хоть какие-нибудь результаты по файлам? Я не в коем случае не поторапливаю...спасибо

[nicodinus]

Дело НЕ в объеме файлов. Объем файлов на подбор ключа практически не влияет.

но ведь проще обрабатывать мелкие файлы, на больший объем нужно большее время для прохода всего файла

[MoGen]

Так же успешно секретарь поймал данный вирь, в результате чего все файлы были зашифрованы.

Фаил отправил. номер тикета [drweb.com #4176658]

[mrbelyash]

 

Дело НЕ в объеме файлов. Объем файлов на подбор ключа практически не влияет.

но ведь проще обрабатывать мелкие файлы, на больший объем нужно большее время для прохода всего файла

 

 

там помоему не весь файл шифруется

[v.martyanov]

 

Дело НЕ в объеме файлов. Объем файлов на подбор ключа практически не влияет.

но ведь проще обрабатывать мелкие файлы, на больший объем нужно большее время для прохода всего файла

 

Ну если ВАМ проще, то ВЫ и обрабатывайте. Скорость моих алгоритмов не зависит от длины файла.

[VVS]

 

 

Дело НЕ в объеме файлов. Объем файлов на подбор ключа практически не влияет.

но ведь проще обрабатывать мелкие файлы, на больший объем нужно большее время для прохода всего файла

 

Ну если ВАМ проще, то ВЫ и обрабатывайте. Скорость моих алгоритмов не зависит от длины файла.

 

А время, затраченное на чтение файла с диска?

[v.martyanov]

 

 

 

Дело НЕ в объеме файлов. Объем файлов на подбор ключа практически не влияет.

но ведь проще обрабатывать мелкие файлы, на больший объем нужно большее время для прохода всего файла

 

Ну если ВАМ проще, то ВЫ и обрабатывайте. Скорость моих алгоритмов не зависит от длины файла.

 

А время, затраченное на чтение файла с диска?

 

Она не вносит никакого существенного вклада в подбор. Я не совсем деревянный ;-) Есть мысли, как сильно ускорить подбор, но нужно будет дофига памяти, я думаю. Или серьезные исследования у нас проводить, что тоже не быстро.

[Юхим]

кто уже пострадал  можете выложить тело самого письма или адресат отправки ?

[v.martyanov]

кто уже пострадал  можете выложить тело самого письма или адресат отправки ?

За выкладывание тела получите бан: на форуме запрещена публикация вредоносного ПО.

[dimmon3]

Добрый день. Сегодня тоже обнаружил у себя данный вирус.

http://gfile.ru/aUCd

 

В архиве с паролем virus следующие файлы:

1) РАСШИФРОВАТЬ.txt - файл с предложением расшифровать файлы. адрес: marikol8965@yahoo.com, ID: 49340AAD

2) asterisk.txt - оригинальный файл

3) asterisk.txt.marikol8965@yahoo.com - порченный файл

 

При необходимости могу прислать ещё с десяток файлов оригинал-порченный и

6OoxkJ8eoxYSEoe6fVmJ.exe - предположительно сам вирус

Bearbeitet von dimmon3, 18 Juni 2013 - 14:58,

[VVS]

dimmon3, прочитайте 1-е сообщение в этой теме.

[Юхим]

v.martyanov, ок. а тема письма всегда одна - Заказ для *****@******* ?

сигнатуры Dr.Web блокируют уже письмо?

[VVS]

Юхим, проверьте вложение из этого письма на сайте DrWeb или на вирустотал.

[dimmon3]

Началось видимо всё с того, что мне сегодня пришло письмо:

 

Тема: Судебное постановление №231003922

 

Здравствуйте.
Просим ознакомится.

 

Во вложении .doc и .docx

Результаты проверки:

https://www.virustotal.com/ru/file/6f0e35a67ad4f2fd49cd60e82609fca6eccc5172341e9d3049beb4eb0c36bc69/analysis/1371556836/