222 ответов в этой теме

[v.martyanov]

Признаки заражения: Файлы зашифрованы, дополнительное расширение .locked, контактный email - decryptor2013@gmail.com или ironman.tony.stark.co@gmail.com, создаются файлы ЧТО_C_ЭТИМ_ДЕЛАТЬ.txt. Второй вариант: расширение *.kraken, мыло - kraken.octopus.7dd@gmail.com, создает файлы KRAKEN.txt. Если среди перечисленных вариантов нет вашего - вам в другую тему.

 

Информация по трояну: Распространение началось в 15-х числах июля 2013 года. Распространяется в письмах: в письме содержится троян, который скачивает энкодера и запускает его. Троян - Trojan.Encoder.263. Известно 4 варианта трояна с разным шифрованием.

 

Расшифровка: Возможна в полностью автоматическом режиме для трех вариантов трояна. Требуется только зашифрованный doc-файл.

 

Криптография: BlowFish да еще и в CTR-режиме! Да еще и с гнусными извратами. Вариант kraken также может быть с AES-256-CTR, причем тоже несколько специфичным.

 

Что необходимо сделать:

- озаботиться информационной безопасностью ваших машин.

- обратиться с заявлением о совершенном преступлении в правоохранительные органы.

- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 зашифрованный doc-файл и обязательно текстовый файл с требованиями в архиве! Дожидаться ответа на Вашу почту сотрудника Dr.Web и далее следовать его указаниям.

 

Что НЕ нужно делать:
- менять расширение у зашифрованных файлов;
- использовать самостоятельно без консультации с сотрудниками Dr. Web любые программы для расшифровки/восстановления данных.

- Чистить или лечить машину чем либо: удалять/переименовывать какие-либо файлы, чистить почту, временные файлы и т.д.

- ОСОБЕННО!!! не стоит удалять текстовик с требованиями, если у вас модификация ironman.tony.stark.co@gmail.com

Сообщение было изменено v.martyanov: 27 Август 2013 - 13:19

[Дмитрий П]

Может кому поможет:

запустил декриптор по ссылке выше, он повис, но у файлов пропало расширение locked, но фалы были все битые и не открывались, зато появилась возможность восстановить предыдущую версию файла. восстановил и все ок. минус- восстанавливать придется каждый файл вручную отдельно.

Попробовал данный способ.

ОГРОМНОЕ СПАСИБО АВТОРУ!!!!    

Все файлы похоже вообще испортились. Восстановить предыдущую версию нет такой опции!!!  

[VVS]

naf

1. Ваш случай не имеет к этой теме никакого отношения.
2. Советы по лечению здесь публиковать запрещено.

Модератор.

Сообщение было изменено VVS: 01 Август 2013 - 07:20

[v.martyanov]

 

Может кому поможет:

запустил декриптор по ссылке выше, он повис, но у файлов пропало расширение locked, но фалы были все битые и не открывались, зато появилась возможность восстановить предыдущую версию файла. восстановил и все ок. минус- восстанавливать придется каждый файл вручную отдельно.

Попробовал данный способ.

ОГРОМНОЕ СПАСИБО АВТОРУ!!!!    

Все файлы похоже вообще испортились. Восстановить предыдущую версию нет такой опции!!!  

 

А читать тему в которую пишите не надо?

[v.martyanov]

Сделана утилита для первой версии трояна, которая с мылом decryptor2013@gmail.com. Сейчас буду смотреть вторую версию трояна, может и для нее подойдет. Также буду тестировать утилиту. Самое позднее в пятницу будет выпущена и все получат ответы в своих тикетах.

[v.martyanov]

Ну и универсальную утилиту замутил.

[sergey_sergey]

А как эту утилиту получить? А то тоже хапнул эту гадость. И инструкцию, если не сложно...

[sergey_sergey]

Могу прислать файл в зашифрованном варианте и нет (есть бэкап, но старый)...

[v.martyanov]

А как эту утилиту получить? А то тоже хапнул эту гадость. И инструкцию, если не сложно...

А первое сообщение вы прочитали? Особенно пункты про то, что необходимо сделать.

[sergey_sergey]

Маленькая проблема - у меня нет в пользовании продуктов доктора веба. Поэтому я не могу отправить запрос. И что бы вас не напрягать - был бы рад просто ссылке на вашу утилиту - если она универсальная - у меня вторая версия трояна (находил ссылки на предыдущие утилиты в инете). Иногда юзаю бесплатный Curelt!, но серийного номера на нем не заметил . Нужно у вас обязательно что то купить, или для запроса достаточно журнального ключа?

[v.martyanov]

Мы не предоставляем расшифровку незарегистрированным пользователям.

[HHH]

Нужно у вас обязательно что то купить, или для запроса достаточно журнального ключа?

Насколько я помню по журнальным ключам тех. поддержки нет. Значит и тут не подойдет.

[sergey_sergey]

А я зарегистрировался - ключ выдан именно на меня, только что такое серийный номер? Это то, что в ключе SN=xxxx-xxxx-xxxx-xxxx ? Но если я его ввожу, форма ваша сбрасывается.

[mrbelyash]

Наверное триальный на 30 дней?

[alexxcha]

Ладно, спасибо за понимание и поддержку...

нашел способ установить лицензионный веб который предлагает провайдер - такая лицензия сработает? Или все-таки необходимо покупать коммерческую?

[mrbelyash]

Там же в тех. поддержке можно и узнать.

Если что-перенаправят.

[alexxcha]

Техподдержка - круглосуточно?

Напрямую вопрос в теме декодирования задать не смог - там просто нет возможности указать провайдера услуг - создал запрос через форму которую дает пров...

Номер тикета

 

Вообще есть вероятность что ответят сегодня?

Сообщение было изменено SergM: 03 Август 2013 - 22:34

[SergM]

Номера тикетов ТП публиковать нельзя. Можно позвонить или скайп. Указать при звонке номер запроса.

И да, поддержка круглосуточно.

Сообщение было изменено SergM: 03 Август 2013 - 22:35

[VVS]

Офтопик удалён.

Модератор.

[VVS]

Офтопик будет удаляться без предупреждения.

Если офтопящий это не поймёт, то будут применены административные меры.

Модератор.