106 ответов в этой теме

[VVS]

Ну сколько раз можно писать - на форуме помощь по этому вопросу Вы не получите.
Помогают (если это в принципе возможно) только в ТП.

ві хоть скажите да или нет или ві только вирус написали ? есть декодер в природе ?

Ответ на этот вопрос Вы можете получить только в ТП.

[VVS]

mamud1980, Ваше сообщение к этой теме не имеет никакого отношения, поэтому оно удалено.

Создайте новую тему в соответствующем разделе форума (с описанием проблемы и с отчётом DrWeb) или пишите в ТП - https://support.drweb.com/support_wizard/?lng=ru

Модератор.

Сообщение было изменено VVS: 17 Июль 2014 - 12:22

[Dog111]

Привет! С madeled@mail.ru договариваться не рекомендую, кидалы. У меня был такой же случай, зашифровали базы 1С. Запросили 1000$.договорились на 30 000 руб. Деньги перевели, через день они потребовали еще 1000$. Так что подумайте стоит ли платить этим гражданам.

[v.martyanov]

Да у них там в трояне не код, а старое слово на букву Г, так что неудивительно что что-то не работает :-)

[deglor]

 У меня та же беда. Есть письмо с которого произошло заражение. Есть какие-нибудь результаты?

[VVS]

На этот вопрос ответить может только ТП.

[v.martyanov]

 У меня та же беда. Есть письмо с которого произошло заражение. Есть какие-нибудь результаты?

Есть результаты. Около 5% шансы на полную расшифровку. Как и сказано ранее - в техподдержку и молиться Машыаху, чтобы вы попали в те самые 5%.

[_burb_on_]

Тоже знакомые поймали такую же ересь.
Однако шифровальщик доработать не успел.
Ребутнули сервер и он не успел себя удалить.
За сим просим помощи:
Зашифрованные файлы: https://yadi.sk/d/gxFY_AF2bxTEx
Собственно сам виновник (может нужен для изучения):  <censored> Арихв с вирем под паролем. Пароль дам представителям DrWeb через обращение в ЛС.

Сообщение было изменено pig: 13 Октябрь 2014 - 07:46
Публикация вредоносов запрещена в любом виде

[pig]

Читайте четвёртое сообщение темы. Там написано, куда обращаться и куда что представлять.
А вредоносные файлы здесь запрещено публиковать. Даже под паролем.

Сообщение было изменено pig: 13 Октябрь 2014 - 07:45

[obtim]

Столкнулся с этой проблемой(слава богу не у себя). Решил зайти с другой стороны: в теории если автора вируса поймают, то есть шанс, что он должен будет расшифровать файлы.. Понимаю, что вероятность всего этого стремится к 0. Однако есть желание попытаться. В связи с этим вопрос: в какие компетентные органы обратиться с заявлением по этой ситуации?
П.С. Прошу не давать общих ответов: если знаете-пишите. Догадки не интересуют.

[VVS]

http://forum.drweb.com/index.php?showtopic=282975&page=1

[sanbegger]

Добрый день. Может кому поможет.

Совет по восстановлению 1С помог, получается что шифруется только заголовок файла. Это наталкнуло меня на мысль попробовать восстановить документы Word и Excel с помощью программ по "ремонту" файлов, и получилось вытащить часть данных.

[v.martyanov]

Шифруются не только заголовки, просто у 1C размеры блоков очень большие и если троян попадет в неиспользуемую часть блока - не будет особых проблем.

[sanbegger]

Шифруются не только заголовки, просто у 1C размеры блоков очень большие и если троян попадет в неиспользуемую часть блока - не будет особых проблем.

я не говорю про полное восстановление, но если нет копии данных, то та часть что можно вытащить будет уже в радость

 

только-что восстанавливал документы

Сообщение было изменено sanbegger: 17 Октябрь 2014 - 13:08

[Yarri]

Знакомый подцепил шифровщик. Антивируса к этому времени у него вообще не было (он сам себе злобный буратино). Трояны я ему почистил.

Все, что я смог у него найти на компе из лишнего - это некий файл tmp в папке winrar. Сама папка была уже пустая.

Это обычный текстовый файл.

В нем находится имя, которое добавляется к каждому зашифрованному файлу и длинное число под 90 знаков.

 

Во вложении сам этот файл и для примера - типовой зашифрованный текстовый файл (изначально *.txt) от от НалогоплательщикЮЛ.

 

Подскажите, есть вероятность это расшифровать с таким набором файлов?

 

 

Пока что поставил ему пробную версию DrWeb 9 на три месяца, но если есть шанс расшифровать это дело (декрипторы от Касперского не сработал ни один), то заставлю его купить полную версию, тем более что по акции это ему обойдется на 40% дешевле, если не ошибаюсь.

Прикрепленные файлы:

•  Version.txt.id-YZCDFFYZZABCCCDEEFGGGHIJJKKLLMNOOPPQ-20.10.2014 11@59@15445313-email-fantomass1998@gmail.com_masfantomas@onionmail.in-ver-4.1.1.0.zip   9,05К   5 Скачано раз
•  winrar.tmp.файл с каким то ключем.zip   455байт   5 Скачано раз

[v.martyanov]

Есть шансы. Касперы не будут работать в этом направлении, они публично признались что это не расшифровать :-D

[Yarri]

Тогда прошу своего товарища купить лицензию. Он ее на ЮЛ оформляет.

[Tatyanka]

Товарищу своему посоветуйте читать мануалы от красных. Всё упирается в админа, если умеет читать и настраивать сервер управления - проблем намного меньше возникает в данном вопросе.

Я - всегда за зеленых! Если что)

[VascoJo2]

Ребят этот вирус кодирует блочно каждый файл, в том числе есть бэкап он походу лежит в корне но не всегда какойто файл называется типа mailsetup ... както так...

блочно кодирует заголовку и в теле файла через промежуточный бросок адреса, первый блок обычно 16Х16 байтов.

В конце файла добавляет свой код.
Дешифровка файла либо сохраняется в спецальном файле либо согласно версии вируса либо в конце файла добавляют как вернуть в исходное.

написал этот вирус скорее всего бывший програмист работающий в фирме майл разрабатываемый агент майл, это мое личное предположение.

запустить бэкап не уверен что может получиться потому что надо знать как.

[VascoJo2]

ну вот нашел зараженный файл и не зараженный, можно делать эврестический анализ куда залить?