Перейти к содержимому


Фото
- - - - -

Файлы зашифрованы с помощью PAYCRYPT@GMAIL_COM

PAYCRYPT@GMAIL_COM RSA1024

  • Please log in to reply
143 ответов в этой теме

#41 negodyay

negodyay

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 15 Июль 2014 - 13:13

а по сети данная зараза сама распространяется? или только 1 компьютер страдает?



#42 thyrex

thyrex

    Member

  • Posters
  • 279 Сообщений:

Отправлено 15 Июль 2014 - 13:53

Перебираются все диски,  И если буква совпала с буквой сетевого, ждите беду



#43 CaHeK_911

CaHeK_911

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 15 Июль 2014 - 21:35

paycrypt@gmail_com   по алгоритму RSA1024

 

Нашли решение проблемы? 



#44 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 16 Июль 2014 - 09:58

paycrypt@gmail_com   по алгоритму RSA1024

 

Нашли решение проблемы? 

Давно и не мы: резервное копирование.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#45 Ria

Ria

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 16 Июль 2014 - 10:45

Столкнулась с той же проблемой - словила через почту paycrypt@gmail_com... Всё, что он у меня зашифровал, особой ценности не представляет, и платить я этим уродам не собираюсь, но мне, как среднему пользователю ПК, нужен ваш совет: что делать, чтобы эта зараза не распространялась дальше? Я просканировала полностью комп, выловила вирус, а дальше? Помогает ли простое лечение/удаление/что там ещё, чтобы в дальнейшем  пайкрипт больше не навредил ни мне, ни кому-то ещё (вдруг он и через мою почту без моего ведома по адресной книге разошлет инфицированные письма)? Или, кроме удаления/помещения в карантин, нужно что-то ещё?



#46 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 16 Июль 2014 - 10:50

Написал предыдущим сообщением - резервное копирование.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#47 Grid001

Grid001

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 16 Июль 2014 - 18:08

В общем произошла ситуация и со мной. Пообщался с этими горе хакерами. Никакого ключа они высылать и не собирались. А просто вытягивают деньги. А те кто пишет якобы об успешных расшифровках кучи файлов, судя по всему их же люди.

 

Печально конечно, но впредь будем умнее.



#48 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 16 Июль 2014 - 18:10

По pzdc, вероятно, будет решение!


Личный сайт по Энкодерам - http://vmartyanov.ru/


#49 thyrex

thyrex

    Member

  • Posters
  • 279 Сообщений:

Отправлено 16 Июль 2014 - 20:01

А те кто пишет якобы об успешных расшифровках кучи файлов, судя по всему их же люди

Это сугубо Ваше мнение :) Видимо, грубо с ними разговаривали

Мне прислали дешифратор. Я проверил его на файлах другого пострадавшего. И он сработал ;)


Сообщение было изменено thyrex: 16 Июль 2014 - 20:01


#50 temp661

temp661

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 17 Июль 2014 - 07:38

Почитал форумы, сложилось впечатление, что один дешифратор подходит для всех. Если не жаль, может кто-нибудь выслать комплект для расшифровки на temp661@yandex.ru ? Обещаю отписаться о результатах ))



#51 thyrex

thyrex

    Member

  • Posters
  • 279 Сообщений:

Отправлено 17 Июль 2014 - 10:14

Почитал форумы, сложилось впечатление, что один дешифратор подходит для всех
Неверное впечатление. Большинство версий использует уникальные ключи, которые в зашифрованном виде сбрасываются на компьютер пользователей

#52 Черномор

Черномор

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 17 Июль 2014 - 10:32

Здравствуйте. Приятно видеть что по всем смежным форумам, качуют те-же люди. Определенно радует участие сообщества и наличия в нём, специалистов именно по шифровальщикам. Спасибо!

Я, в силу своих способностей, начал ковырять инициирующий шифрование gpg скрипт, привёл его в читабельный вид, но не совсем разобрался со "стартовым комплектом поставки" (интересно происхождение "secrypt.like") и с разделом, отвечающим за повторный прогон шифрования ключа и получения "secring.gpg.gpg" и. Моя цель - окончательно понять алгаритмы работы этой заразы и восстановить ту часть моих данных, которую успели зашифровать. Последнее конечно возможно только, при успешном восстановлении ключа. Как оцениваете шансы? А пока, читаю маны по GnuPG...и надеюсь на выход официального дешифратора.



#53 VVS

VVS

    The Master

  • Moderators
  • 17 480 Сообщений:

Отправлено 17 Июль 2014 - 10:35

Здравствуйте. Приятно видеть что по всем смежным форумам, качуют те-же люди. Определенно радует участие сообщества и наличия в нём, специалистов именно по шифровальщикам. Спасибо!
Я, в силу своих способностей, начал ковырять инициирующий шифрование gpg скрипт, привёл его в читабельный вид, но не совсем разобрался со "стартовым комплектом поставки" (интересно происхождение "secrypt.like") и с разделом, отвечающим за повторный прогон шифрования ключа и получения "secring.gpg.gpg" и. Моя цель - окончательно понять алгаритмы работы этой заразы и восстановить ту часть моих данных, которую успели зашифровать. Последнее конечно возможно только, при успешном восстановлении ключа. Как оцениваете шансы?

шансы == 0

--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#54 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 17 Июль 2014 - 10:38

Ну все же не ноль, но спецы нужно очень неслабые, я в сам gpg лезть не планирую пока.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#55 Черномор

Черномор

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 17 Июль 2014 - 10:59

Прошу прощения, за полемику с модератом, но можно более развёрнутый ответ?

Шансы = 0, по тому что - ....

Я, на вскидку, вижу 3 прогона на затирание, строчками и copy/move.

Неожиданно, был найден затертый файл secrypt в Temporary Internet Files размером 673 байта. Содержит строчки признака адресата из скрипта, но как-то на ключ не похоже. Можете прояснить происхождение?


Сообщение было изменено Черномор: 17 Июль 2014 - 11:01


#56 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 17 Июль 2014 - 11:01

Шансы почти нулевые, потому что атака "в лоб" на RSA по публичному ключу длиной 1024 бита - гиблое дело. Другие векторы атаки - тоже непростое дело, но пока не доказана их бесполезность - шансы все же отличны от нуля.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#57 Черномор

Черномор

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 17 Июль 2014 - 11:25

Так следует ли ждать официального декриптора, по разновидности оставляющей "PAYCRYPT@GMAIL_COM"?



#58 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 17 Июль 2014 - 11:46

Так следует ли ждать официального декриптора, по разновидности оставляющей "PAYCRYPT@GMAIL_COM"?

Можете ждать, можете не ждать :-)

 

Короче, *.pzdc побежден, тема по нему - http://forum.drweb.com/index.php?showtopic=318058

PS. *.crypt на GPG тоже можем расшифровать в некоторых случаях.


Сообщение было изменено v.martyanov: 17 Июль 2014 - 12:21

Личный сайт по Энкодерам - http://vmartyanov.ru/


#59 skip

skip

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 17 Июль 2014 - 12:59

День добрый!

Сотрудница открыла ссылку на paycrypt_gmail_com.

Через пару минут позвала меня, я выключил питание компа и изъял диск.

 

1) В Temp найдены файлы:

 

DEC01 (472064)
DEC02 (456947)
DECODE.zip (929011)
document.doc (49664)
KEY.PRIVATE (971)
pycrp.bin (13)
secring.gpg.gpg (971)
trustdb.gpg (1240)

PAYCRYPT_GMAIL_COM.txt (3464)

etilqs_I8jVQw3o61offRV (32768)

etilqs_cXpjUXHtt8VSuUd (512)

etilqs_bb0lp4MrZwkghzG (0)

 

2) Имеется оригинал документа и его зашифрованная версия.

 

Можно ли узнать ключ, сложив 1 и 2?


Сообщение было изменено skip: 17 Июль 2014 - 13:02


#60 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 17 Июль 2014 - 13:01

День добрый!

Сотрудница открыла ссылку на paycrypt_gmail_com.

Через пару минут позвала меня, я выключил питание компа и изъял диск.

 

1) В Temp найдены файлы:

 

DEC01 (472064)
DEC02 (456947)
DECODE.zip (929011)
document.doc (49664)
etilqs_I8jVQw3o61offRV (32768)
KEY.PRIVATE (971)
pycrp.bin (13)
secring.gpg.gpg (971)
trustdb.gpg (1240)

PAYCRYPT_GMAIL_COM.txt (3464)

etilqs_cXpjUXHtt8VSuUd (512)

etilqs_I8jVQw3o61offRV (32768)

etilqs_bb0lp4MrZwkghzG (0)

 

2) Имеется оригинал документа и его зашифрованная версия.

 

Можно ли узнать ключ сложив 1 и 2?

Нет, нельзя. Вся современная криптография такова, что узнать ключ по паре файлов нельзя.


Личный сайт по Энкодерам - http://vmartyanov.ru/




Also tagged with one or more of these keywords: PAYCRYPT@GMAIL_COM, RSA1024

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых