Перейти к содержимому


Фото
- - - - -

Зашифрованы файлы, marikol8965@yahoo.com


  • Закрыто Тема закрыта
647 ответов в этой теме

#1 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 17 Июнь 2013 - 16:48

Признаки трояна: email для связи с авторами marikol8965@yahoo.com, расширение файлов marikol8965@yahoo.com. Если хоть один признак не совпадает - вам в другую тему.

 

Распространение началось 17.06.2013. Модификация 225-го, добавлено дополнительное шифрование данных. В связи с этим сложность подбора повышена. Более того, существует 2 варианта трояна, отличить которые очень проблематично и у которых по разному генерится пароль.

Расшифровка ВОЗМОЖНА! Подбор параметров расшифровки многоэтапный, требует зашифрованного doc-файла. Первый этап - 2-3 часа. Затем в несколько этапов пытаемся подобрать ключ. После этих этапов начнется расшифровка всех файлов.

 

Если у Вас зашифрованы файлы,

Что НЕ нужно делать:
- менять расширение у зашифрованных файлов;
- использовать самостоятельно без консультации с сотрудниками Dr. Web любые программы для расшифровки/восстановления данных.

Что необходимо сделать:
- Обратиться через форму https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 к специалистам Dr.Web для получения программы для расшифровки файлов.

- Обратиться в полицию по поводу произошедшего преступления

- Озаботиться причинами произошедшего и принять меры к ужесточению политик ИБ.

 

PS. Обсуждать как и чем расшифровывать данные - куда-нибудь в другое место.


Сообщение было изменено v.martyanov: 15 Август 2013 - 12:08

Личный сайт по Энкодерам - http://vmartyanov.ru/


#2 needtohelp

needtohelp

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 18 Июнь 2013 - 09:12

Вчера заразилась этим вирусом, в фале Расшифровать.txt была такая информация:

 

Ваши файлы (.doc,.xls,.pdf, базы данных и т.д.) были зашифрованы криптостойким алгоритмом, расшифровать их можно только имея уникальный для вас дешифратор файлов.

Если вы заинтересованы в расшифровке ваших файлов свяжитесь с нами по email:

Стоимость расшифровки файлов 5000 рублей

marikol8965@yahoo.com

Также если вы хотите убедится в том, что мы действительно сможем расшифровать ваши файлы, вы можете приложить любой небольшой файл, и ID из файла C:\РАСШИФРОВАТЬ.TXT и мы его вам расшифруем (базы данных для теста не расшифровываем!).



ВНИМАНИЕ! У ВАС ЕСТЬ НЕДЕЛЯ ДЛЯ ПРИНЯТИЯ РЕШЕНИЯ О ПОКУПКЕ ДЕШИФРАТОРА, ДАЛЕЕ МЫ УДАЛЯЕМ ПАРОЛЬ ДЛЯ РАСШИФРОВКИ ВАШИХ ФАЙЛОВ, ДАЛЕЕ ИХ РАСШИФРОВАТЬ БУДЕТ НЕВОЗМОЖНО!



----

ID:382777D3

----
Я отправила им шифрованный файл вчера, сегодня пришел дешефрованный, выложу на файлообменник - может быть поможете в лечении...

http://zalil.ru/34589266



#3 needtohelp

needtohelp

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 18 Июнь 2013 - 09:22

Отправила вам файлы(шифрованные и после расшифровки) - тикет #4176317... Очень нужны файлы... спасибо заранее за помощь



#4 Beavis_cool

Beavis_cool

    Newbie

  • Posters
  • 28 Сообщений:

Отправлено 18 Июнь 2013 - 11:39

Такая же штука. 

Ваши файлы (.doc,.xls,.pdf, базы данных и т.д.) были зашифрованы криптостойким алгоритмом, расшифровать их можно только имея уникальный для вас дешифратор файлов.

 
Если вы заинтересованы в расшифровке ваших файлов свяжитесь с нами по email:
 
Стоимость расшифровки файлов 5000 рублей
 
marikol8965@yahoo.com
 
Также если вы хотите убедится в том, что мы действительно сможем расшифровать ваши файлы, вы можете приложить любой небольшой файл, и ID из файла C:\РАСШИФРОВАТЬ.TXT и мы его вам расшифруем (базы данных для теста не расшифровываем!).
 
 
 
ВНИМАНИЕ! У ВАС ЕСТЬ НЕДЕЛЯ ДЛЯ ПРИНЯТИЯ РЕШЕНИЯ О ПОКУПКЕ ДЕШИФРАТОРА, ДАЛЕЕ МЫ УДАЛЯЕМ ПАРОЛЬ ДЛЯ РАСШИФРОВКИ ВАШИХ ФАЙЛОВ, ДАЛЕЕ ИХ РАСШИФРОВАТЬ БУДЕТ НЕВОЗМОЖНО!
 
 
 
----
 
ID:C8187812

 

 

 

Фаил отправил. номер тикета [drweb.com #4176367]

 

Во вложении пример зашифрованного файла

 

Прикрепленные файлы:



#5 nicodinus

nicodinus

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 18 Июнь 2013 - 13:47

тоже сообщение, с другим ID

Ваши файлы (.doc,.xls,.pdf, базы данных и т.д.) были зашифрованы криптостойким алгоритмом, расшифровать их можно только имея уникальный для вас дешифратор файлов.

 
Если вы заинтересованы в расшифровке ваших файлов свяжитесь с нами по email:
 
Стоимость расшифровки файлов 5000 рублей
 
marikol8965@yahoo.com
 
Также если вы хотите убедится в том, что мы действительно сможем расшифровать ваши файлы, вы можете приложить любой небольшой файл, и ID из файла C:\РАСШИФРОВАТЬ.TXT и мы его вам расшифруем (базы данных для теста не расшифровываем!).
 
 
 
ВНИМАНИЕ! У ВАС ЕСТЬ НЕДЕЛЯ ДЛЯ ПРИНЯТИЯ РЕШЕНИЯ О ПОКУПКЕ ДЕШИФРАТОРА, ДАЛЕЕ МЫ УДАЛЯЕМ ПАРОЛЬ ДЛЯ РАСШИФРОВКИ ВАШИХ ФАЙЛОВ, ДАЛЕЕ ИХ РАСШИФРОВАТЬ БУДЕТ НЕВОЗМОЖНО!
 
 
 
----
 
ID:D8093E4C
 
----

 

Могу прислать оригинальный файл и шифрованный, оригинальный файл - из инсталятора программы, в изначальном виде, в котором он и должен быть.

Таких файлов есть три пары, они малого объема так что они быстро обработаются. 



#6 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 18 Июнь 2013 - 13:48

Дело НЕ в объеме файлов. Объем файлов на подбор ключа практически не влияет.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#7 needtohelp

needtohelp

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 18 Июнь 2013 - 13:59

Дело НЕ в объеме файлов. Объем файлов на подбор ключа практически не влияет.

Извините, а как скоро можно будет узнать хоть какие-нибудь результаты по файлам? Я не в коем случае не поторапливаю...спасибо



#8 nicodinus

nicodinus

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 18 Июнь 2013 - 14:01

Дело НЕ в объеме файлов. Объем файлов на подбор ключа практически не влияет.
но ведь проще обрабатывать мелкие файлы, на больший объем нужно большее время для прохода всего файла

#9 MoGen

MoGen

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 18 Июнь 2013 - 14:10

Так же успешно секретарь поймал данный вирь, в результате чего все файлы были зашифрованы.

Фаил отправил. номер тикета [drweb.com #4176658]



#10 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 18 Июнь 2013 - 14:16

 

Дело НЕ в объеме файлов. Объем файлов на подбор ключа практически не влияет.
но ведь проще обрабатывать мелкие файлы, на больший объем нужно большее время для прохода всего файла

 

 

там помоему не весь файл шифруется


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#11 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 18 Июнь 2013 - 14:20

 

Дело НЕ в объеме файлов. Объем файлов на подбор ключа практически не влияет.
но ведь проще обрабатывать мелкие файлы, на больший объем нужно большее время для прохода всего файла

 

Ну если ВАМ проще, то ВЫ и обрабатывайте. Скорость моих алгоритмов не зависит от длины файла.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#12 VVS

VVS

    The Master

  • Moderators
  • 17 500 Сообщений:

Отправлено 18 Июнь 2013 - 14:29

 

 

Дело НЕ в объеме файлов. Объем файлов на подбор ключа практически не влияет.
но ведь проще обрабатывать мелкие файлы, на больший объем нужно большее время для прохода всего файла

 

Ну если ВАМ проще, то ВЫ и обрабатывайте. Скорость моих алгоритмов не зависит от длины файла.

 

А время, затраченное на чтение файла с диска? :P


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#13 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 18 Июнь 2013 - 14:40

 

 

 

Дело НЕ в объеме файлов. Объем файлов на подбор ключа практически не влияет.
но ведь проще обрабатывать мелкие файлы, на больший объем нужно большее время для прохода всего файла

 

Ну если ВАМ проще, то ВЫ и обрабатывайте. Скорость моих алгоритмов не зависит от длины файла.

 

А время, затраченное на чтение файла с диска? :P

 

Она не вносит никакого существенного вклада в подбор. Я не совсем деревянный ;-) Есть мысли, как сильно ускорить подбор, но нужно будет дофига памяти, я думаю. Или серьезные исследования у нас проводить, что тоже не быстро.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#14 Юхим

Юхим

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 18 Июнь 2013 - 14:48

кто уже пострадал  можете выложить тело самого письма или адресат отправки ?



#15 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 18 Июнь 2013 - 14:49

кто уже пострадал  можете выложить тело самого письма или адресат отправки ?

За выкладывание тела получите бан: на форуме запрещена публикация вредоносного ПО.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#16 dimmon3

dimmon3

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 18 Июнь 2013 - 14:58

Добрый день. Сегодня тоже обнаружил у себя данный вирус.

http://gfile.ru/aUCd

 

В архиве с паролем virus следующие файлы:

1) РАСШИФРОВАТЬ.txt - файл с предложением расшифровать файлы. адрес: marikol8965@yahoo.com, ID: 49340AAD

2) asterisk.txt - оригинальный файл

3) asterisk.txt.marikol8965@yahoo.com - порченный файл

 

При необходимости могу прислать ещё с десяток файлов оригинал-порченный и

6OoxkJ8eoxYSEoe6fVmJ.exe - предположительно сам вирус


Сообщение было изменено dimmon3: 18 Июнь 2013 - 14:58


#17 VVS

VVS

    The Master

  • Moderators
  • 17 500 Сообщений:

Отправлено 18 Июнь 2013 - 14:58

dimmon3, прочитайте 1-е сообщение в этой теме.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#18 Юхим

Юхим

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 18 Июнь 2013 - 14:59

v.martyanov, ок. а тема письма всегда одна - Заказ для *****@******* ?

сигнатуры Dr.Web блокируют уже письмо?



#19 VVS

VVS

    The Master

  • Moderators
  • 17 500 Сообщений:

Отправлено 18 Июнь 2013 - 15:01

Юхим, проверьте вложение из этого письма на сайте DrWeb или на вирустотал.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#20 dimmon3

dimmon3

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 18 Июнь 2013 - 15:06

Началось видимо всё с того, что мне сегодня пришло письмо:

 

Тема: Судебное постановление №231003922

 

Здравствуйте.
Просим ознакомится.

 

Во вложении .doc и .docx

Результаты проверки:

https://www.virustotal.com/ru/file/6f0e35a67ad4f2fd49cd60e82609fca6eccc5172341e9d3049beb4eb0c36bc69/analysis/1371556836/




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых