Дешифратор для пострадавших от id022@yahoo.com
#1
Отправлено 07 Июнь 2012 - 11:45
Вниманию тех, чьи файлы были зашифрованы и кто получил предложение выкупить файлы от злоумышленника с мейлом id022@yahoo.com. Вот дешифратор http://files.mail.ru/MOPDAE Троим он уже помог, так что пробуйте.
P.S. Не забывайте делать резервные копии перед применением дешифратора.
#2
Отправлено 07 Июнь 2012 - 11:45
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и RkU. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Что не нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума;
#3
Отправлено 07 Июнь 2012 - 11:52
#4
Отправлено 07 Июнь 2012 - 11:56
Не вижу в этом ничего удивительного ) Если старашно, можете попробовать применить этот дешифратор в изолированной системе.Подозрительный файл
#5
Отправлено 07 Июнь 2012 - 12:02
Не вижу в этом ничего удивительного ) Если старашно, можете попробовать применить этот дешифратор в изолированной системе.Подозрительный файл
Ща свой сделаем :-)
Личный сайт по Энкодерам - http://vmartyanov.ru/
#6
Отправлено 07 Июнь 2012 - 12:09
О, круто! Владимир, если нужны шифрованные и дешифрованные файлы, могу выложить. У меня есть подозрение, что там какое-то условное шифрование, которе вовсе не шифрование, а дописывание какого-то мусора.. Я прав?Ща свой сделаем :-)
#7
Отправлено 07 Июнь 2012 - 12:10
О, круто! Владимир, если нужны шифрованные и дешифрованные файлы, могу выложить. У меня есть подозрение, что там какое-то условное шифрование, которе вовсе не шифрование, а дописывание какого-то мусора.. Я прав?Ща свой сделаем :-)
Не, уже ничего не надо. Понятно от какой модификации.
Там происходит замена оригинальных данных мусором, а зашифрованные данные записаны в хвосте, шифрование честное, RSA.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#8
Отправлено 07 Июнь 2012 - 12:41
Ясно. Тогда в какую программу будет включен дешифратор и когда? И сообщите, пожалуйста, сюда когда это случится. Заранее спасибо.Не, уже ничего не надо. Понятно от какой модификации.
Там происходит замена оригинальных данных мусором, а зашифрованные данные записаны в хвосте, шифрование честное, RSA.
#9
Отправлено 07 Июнь 2012 - 13:01
В ftp://ftp.drweb.com/pub/drweb/tools/te102decrypt.exe сегодняЯсно. Тогда в какую программу будет включен дешифратор и когда? И сообщите, пожалуйста, сюда когда это случится. Заранее спасибо.Не, уже ничего не надо. Понятно от какой модификации.
Там происходит замена оригинальных данных мусором, а зашифрованные данные записаны в хвосте, шифрование честное, RSA.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#10
Отправлено 07 Июнь 2012 - 14:02
При запуске утилиты и после принятия соглашения выскакивает "Error: Неверный ключ" (ОС Windows7 SP1).В ftp://ftp.drweb.com/pub/drweb/tools/te102decrypt.exe сегодня
#11
Отправлено 07 Июнь 2012 - 14:14
Личный сайт по Энкодерам - http://vmartyanov.ru/
#12
Отправлено 07 Июнь 2012 - 15:33
#13
Отправлено 07 Июнь 2012 - 15:47
Пришлите зашифрованные файлы в Вирлаб, в категорию "Запрос на лечение" - будет код к программе, если это был тот же Энкодер.а каковы параметры у 102 дешифратора? у клиента тоже седня общая папка на сервере накрылась lockdir-ом... может подскажете?
Борис А. Чертенко aka Borka.
#14
Отправлено 07 Июнь 2012 - 15:50
#15
Отправлено 07 Июнь 2012 - 15:52
а каковы параметры у 102 дешифратора? у клиента тоже седня общая папка на сервере накрылась lockdir-ом... может подскажете?
Кодовая фраза: "В огороде - бузина, а в Киеве - дядька" :-)
отправил. а че нельзя сказать его вслух чтоб попытаться дешифровать этим? это какая то пещерная магия?
Да, очень сильное колдунство. Что русскому хорошо, то немцу смерть.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#16
Отправлено 07 Июнь 2012 - 15:53
/Включаю отданный в ремонт хрустальный шар - у Вас не Энкодер.102отправил. а че нельзя сказать его вслух чтоб попытаться дешифровать этим? это какая то пещерная магия?
А так -
1. Файлы зашифрованы разным алгоритмом, следовательно, код будет разным.
2. Заниматься самолечением вредно для здоровья [компьютера].
3. Да, таки пещерная магия.
Борис А. Чертенко aka Borka.
#17
Отправлено 07 Июнь 2012 - 15:59
Ясно. Отправил в VMS запрос.Потому что параметры запуска для каждого случая свои и сообщают при заявке в вирлаб/техподдержку.
#18
Отправлено 07 Июнь 2012 - 16:01
Номер тикета?Ясно. Отправил в VMS запрос.Потому что параметры запуска для каждого случая свои и сообщают при заявке в вирлаб/техподдержку.
Борис А. Чертенко aka Borka.
#19
Отправлено 07 Июнь 2012 - 16:02
Номер тикета?Ясно. Отправил в VMS запрос.Потому что параметры запуска для каждого случая свои и сообщают при заявке в вирлаб/техподдержку.
Не надо, все уже ответил :-)
Личный сайт по Энкодерам - http://vmartyanov.ru/
#20
Отправлено 08 Июнь 2012 - 04:08
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых