Перейти к содержимому


Фото
* * * * * 1 Голосов

Зашифрованы файлы, *.paycrypt@gmail_com и др.


  • Please log in to reply
841 ответов в этой теме

#41 Zroot

Zroot

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 24 Июль 2014 - 07:22

Zroot, on 23 Jul 2014 - 12:16, said:
Добрый день!
Словили paycrypt@gmail_com как узнать ключи?
Есть файл оригинальный и зашифрованный (почти в 7раз меньше оригинального) и файлы KEY.PRIVATE и PAYCRYPT_GMAIL_COM.txt
Информация есть в открытом доступе. Если вы не хотите разбираться сами - обращайтесь в техподдержку.

 

Нашёл ID F05CF9EE

Возможно расшифровать?



#42 Zroot

Zroot

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 24 Июль 2014 - 07:24

Вижу расшифровать возможно по ID.

Какое ПО для этого необходимо?



#43 andq

andq

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 24 Июль 2014 - 10:22

Добрый день, словил paycrypt_gmail_com, вымогателям платить не стал, купил лицензию Dr.Web Security Space и создал запрос в техподдержку (запрос ****-****). Получил ответ: "К сожалению, на текущий момент у нас нет возможности расшифровать данные файлы. Возможно ключ появится в будущем.
Если мы получим какую-либо практически полезную для расшифровки ваших файлов информацию, мы сами переоткроем этот запрос и сообщим вам."

В тот же день получил письмо от paycrypt@gmail.com о том, что ключ имеет ограничение по времени, в моем случае это сегодня. Клеопатра показала, что сертификат на сервере действительно годен до сегодня (24.07.2014), не совсем понял что это означает, но мягко говоря заволновался.

Не единожды сталкивался с такого рода людьми и пока ни разу не втречал в переписке с ними ничего кроме ошеломляющей наглости, какое уж тут благородство или честность. Верить множеству комментариев от одноразовых посетителей тоже не считаю разумным.

Понимаю, что на форуме Вы такого не напишете, но пожалуйста, намекните хотя бы в личку, если уж Вы не сможете помочь - может быть пока не поздно все таки стоит заплатить злоумышленникам пока еще не поздно?

Сообщение было изменено pig: 24 Июль 2014 - 12:05
скрыл тикет техподдержки


#44 Lunatiq

Lunatiq

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 24 Июль 2014 - 11:11

Добрый день, словил paycrypt_gmail_com, вымогателям платить не стал, купил лицензию Dr.Web Security Space и создал запрос в техподдержку (запрос ****-****). Получил ответ: "К сожалению, на текущий момент у нас нет возможности расшифровать данные файлы. Возможно ключ появится в будущем.
Если мы получим какую-либо практически полезную для расшифровки ваших файлов информацию, мы сами переоткроем этот запрос и сообщим вам."

В тот же день получил письмо от paycrypt@gmail.com о том, что ключ имеет ограничение по времени, в моем случае это сегодня. Клеопатра показала, что сертификат на сервере действительно годен до сегодня (24.07.2014), не совсем понял что это означает, но мягко говоря заволновался.

Не единожды сталкивался с такого рода людьми и пока ни разу не втречал в переписке с ними ничего кроме ошеломляющей наглости, какое уж тут благородство или честность. Верить множеству комментариев от одноразовых посетителей тоже не считаю разумным.

Понимаю, что на форуме Вы такого не напишете, но пожалуйста, намекните хотя бы в личку, если уж Вы не сможете помочь - может быть пока не поздно все таки стоит заплатить злоумышленникам пока еще не поздно?

Почитай 2ю страницу, я там расписал свой случай.

Сообщение было изменено pig: 24 Июль 2014 - 12:06
скрыл тикет техподдержки


#45 Lunatiq

Lunatiq

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 24 Июль 2014 - 11:14

Вижу расшифровать возможно по ID.
Какое ПО для этого необходимо?

Не правильно поняли, ID лишь показывает "версию" ключа, по вашему ID нету расшифровки на данный момент.

Про ПО написано на 2й странице, включая команды которые нужно выполнить.

Сообщение было изменено Lunatiq: 24 Июль 2014 - 11:18


#46 Zroot

Zroot

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 25 Июль 2014 - 07:28

 


Про ПО написано на 2й странице, включая команды которые нужно выполнить.

 

 

После отправки сообщения дочитал и понял что по ID F05CF9EE не расшифровать.

ПО без ключа расшифровки так понимаю не поможет?

Готовы уже оплатить, ведём переговоры.



#47 Lunatiq

Lunatiq

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 25 Июль 2014 - 08:40

 

 


Про ПО написано на 2й странице, включая команды которые нужно выполнить.

 

 

После отправки сообщения дочитал и понял что по ID F05CF9EE не расшифровать.

ПО без ключа расшифровки так понимаю не поможет?

Готовы уже оплатить, ведём переговоры.

 

Не поможет. ПО просто способ не пользоваться декодером "мошенника"



#48 Татьяна Маюновская

Татьяна Маюновская

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 25 Июль 2014 - 13:54

Признаки заражения: Файлы зашифрованы, дополнительные расширения *.paycrypt@gmail_com, *.unstyx@gmail_com и *.unblck@gmail_com. Если у вас другие расширения - вам в другую тему.

 

Информация по трояну: BAT.Encoder.2. Распространение этого трояна началось в середине мая 2014 года, но модификация с расширением *.paycrypt@gmail_com могла появиться позже.

 

Криптография: GPG. Для paycrypt@gmail_com известны такие ключи: F107EA9F/E578490A и F05CF9EE. Для unblck@gmail_com известен ключ F107EA9F/E578490A. Для unstyx@gmail_com известны ключи F107EA9F/E578490A и 01270FE6/F3E75FD0

 

Расшифровка: возможна для некоторых вариантов, которые идентифицируются по ID ключа:

F05CF9EE - нет расшифровки.

F107EA9F/E578490A - есть расшифровка

3DF229D3 - есть расшифровка

01270FE6/F3E75FD0 - есть расшифровка

 

 

 

 

Что необходимо сделать:

- озаботиться информационной безопасностью ваших машин.

- обратиться с заявлением о совершенном преступлении в правоохранительные органы.

- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 зашифрованный файл и файлы key.private. Дожидаться ответа на Вашу почту сотрудника Dr.Web и далее следовать его указаниям.

 

Что НЕ нужно делать:
- менять расширение у зашифрованных файлов.

- удалять любые файлы, чистить или переставлять систему.

- трогать файл key.private

у меня не получается перейти по ссылке в лабораторию доктор веб, что-то блокирует видимо (с другого компьютера все нормально). лицензия есть, как мне отправить вам файлы???


Сообщение было изменено Татьяна Маюновская: 25 Июль 2014 - 13:56


#49 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 25 Июль 2014 - 19:45

(с другого компьютера все нормально). лицензия есть, как мне отправить вам файлы???

Вот с другого компьютера...



#50 andq

andq

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 28 Июль 2014 - 12:26

Господа, по моему ключу пока нет решения, в поддержке искренне извинились, сказали что свяжутся ЕСЛИ получат какую либо информацию. Значит ли это что лаборатория пытается расшифровать мои файлы, или мне просто повезет если кто то купит у злоумышленников такой же ключ как у меня и передаст в лабораторию?

 

Кроме того, сервис по обмену биткоинов, указанный в инструкции не работает, так же не нашел в списке официальных обменников биткоинов, что натолкнуло на нехорошие мысли... Приготовил денюжки и не могу решиться ухнуть их в никуда...



#51 Татьяна Маюновская

Татьяна Маюновская

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 29 Июль 2014 - 12:23

Господа, по моему ключу пока нет решения, в поддержке искренне извинились, сказали что свяжутся ЕСЛИ получат какую либо информацию. Значит ли это что лаборатория пытается расшифровать мои файлы, или мне просто повезет если кто то купит у злоумышленников такой же ключ как у меня и передаст в лабораторию?

 

Кроме того, сервис по обмену биткоинов, указанный в инструкции не работает, так же не нашел в списке официальных обменников биткоинов, что натолкнуло на нехорошие мысли... Приготовил денюжки и не могу решиться ухнуть их в никуда...

мне ответили аналогично((( вопрос, возможно нам нужен один ключ? возможно он кому-то тут еще нужен? может стоит скинуться, пока мошенники не удалили ключ с сервера?(((



#52 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 29 Июль 2014 - 12:26

Ключи у всех разные. Вероятность что он совпадет в разных случаях я оцениваю как существенно меньшую, чем 1/4млрд.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#53 Evgen321

Evgen321

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 29 Июль 2014 - 17:27

добрый день! поймал pay gmail  нужна ваша помощь, id 29EBD38D



#54 pig

pig

    Бредогенератор

  • Helpers
  • 10 676 Сообщений:

Отправлено 29 Июль 2014 - 20:26

добрый день! поймал pay gmail  нужна ваша помощь, id 29EBD38D

Читайте первое сообщение темы.
Почтовый сервер Eserv тоже работает с Dr.Web

#55 VVS

VVS

    The Master

  • Moderators
  • 17 480 Сообщений:

Отправлено 01 Август 2014 - 23:00

gamid1987, Вы получаете 5 дней RO за офтопик, обсуждение действий модератора, флейм...

Модератор.

 

PS

Офтопик из темы удалён.


Сообщение было изменено VVS: 01 Август 2014 - 23:01

--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#56 Zroot

Zroot

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 05 Август 2014 - 11:14

Прислали сегодня ключ дешифратора, хоть и просроченный до 01.08.2014.

но всё расшифровалось достаточно быстро. Попытался с начало через Gpg4win, но в итоге через песочницу протестировал и расшифровал через DECODE от шифровальщиков.



#57 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 05 Август 2014 - 16:37

Zroot, Если для похвастаться, то пущай висит.  А если хотите помочь другим зашлите, то что прислали в вирлаб.



#58 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 05 Август 2014 - 16:43

Zroot, Если для похвастаться, то пущай висит.  А если хотите помочь другим зашлите, то что прислали в вирлаб.

Практически не будет толку. Вряд ли дали приватную часть мастер-ключа.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#59 Zroot

Zroot

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 06 Август 2014 - 07:52

Есть файл UNCRYPT.KEY и архив DECODE.

Куда выслать?



#60 pig

pig

    Бредогенератор

  • Helpers
  • 10 676 Сообщений:

Отправлено 06 Август 2014 - 20:30

В техподдержку, вестимо.
Почтовый сервер Eserv тоже работает с Dr.Web


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых