Перейти к содержимому


Фото
- - - - -

Дешифратор для пострадавших от id022@yahoo.com


  • Please log in to reply
25 ответов в этой теме

#1 dymmon

dymmon

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 07 Июнь 2012 - 11:45

Граждане пострадавшие!
Вниманию тех, чьи файлы были зашифрованы и кто получил предложение выкупить файлы от злоумышленника с мейлом id022@yahoo.com. Вот дешифратор http://files.mail.ru/MOPDAE Троим он уже помог, так что пробуйте.

P.S. Не забывайте делать резервные копии перед применением дешифратора.

#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 2 697 Сообщений:

Отправлено 07 Июнь 2012 - 11:45

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и RkU. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Что не нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума;

#3 Мухомор

Мухомор

    Newbie

  • Posters
  • 53 Сообщений:

Отправлено 07 Июнь 2012 - 11:52

Подозрительный файл https://www.virustotal.com/file/7f9be4beb90bfadc9c6be35e4a5c73c9e6084e21296fe8f285e59b44e48cc30d/analysis/

#4 dymmon

dymmon

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 07 Июнь 2012 - 11:56

Подозрительный файл

Не вижу в этом ничего удивительного ) Если старашно, можете попробовать применить этот дешифратор в изолированной системе.

#5 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 07 Июнь 2012 - 12:02

Подозрительный файл

Не вижу в этом ничего удивительного ) Если старашно, можете попробовать применить этот дешифратор в изолированной системе.


Ща свой сделаем :-)

Личный сайт по Энкодерам - http://vmartyanov.ru/


#6 dymmon

dymmon

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 07 Июнь 2012 - 12:09

Ща свой сделаем :-)

О, круто! Владимир, если нужны шифрованные и дешифрованные файлы, могу выложить. У меня есть подозрение, что там какое-то условное шифрование, которе вовсе не шифрование, а дописывание какого-то мусора.. Я прав?

#7 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 07 Июнь 2012 - 12:10

Ща свой сделаем :-)

О, круто! Владимир, если нужны шифрованные и дешифрованные файлы, могу выложить. У меня есть подозрение, что там какое-то условное шифрование, которе вовсе не шифрование, а дописывание какого-то мусора.. Я прав?


Не, уже ничего не надо. Понятно от какой модификации.
Там происходит замена оригинальных данных мусором, а зашифрованные данные записаны в хвосте, шифрование честное, RSA.

Личный сайт по Энкодерам - http://vmartyanov.ru/


#8 dymmon

dymmon

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 07 Июнь 2012 - 12:41

Не, уже ничего не надо. Понятно от какой модификации.
Там происходит замена оригинальных данных мусором, а зашифрованные данные записаны в хвосте, шифрование честное, RSA.

Ясно. Тогда в какую программу будет включен дешифратор и когда? И сообщите, пожалуйста, сюда когда это случится. Заранее спасибо.

#9 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 07 Июнь 2012 - 13:01

Не, уже ничего не надо. Понятно от какой модификации.
Там происходит замена оригинальных данных мусором, а зашифрованные данные записаны в хвосте, шифрование честное, RSA.

Ясно. Тогда в какую программу будет включен дешифратор и когда? И сообщите, пожалуйста, сюда когда это случится. Заранее спасибо.

В ftp://ftp.drweb.com/pub/drweb/tools/te102decrypt.exe сегодня

Личный сайт по Энкодерам - http://vmartyanov.ru/


#10 dymmon

dymmon

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 07 Июнь 2012 - 14:02

В ftp://ftp.drweb.com/pub/drweb/tools/te102decrypt.exe сегодня

При запуске утилиты и после принятия соглашения выскакивает "Error: Неверный ключ" (ОС Windows7 SP1).

#11 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 07 Июнь 2012 - 14:14

Потому что параметры запуска для каждого случая свои и сообщают при заявке в вирлаб/техподдержку.

Личный сайт по Энкодерам - http://vmartyanov.ru/


#12 anton_starlight

anton_starlight

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 07 Июнь 2012 - 15:33

а каковы параметры у 102 дешифратора? у клиента тоже седня общая папка на сервере накрылась lockdir-ом... может подскажете?

#13 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 07 Июнь 2012 - 15:47

а каковы параметры у 102 дешифратора? у клиента тоже седня общая папка на сервере накрылась lockdir-ом... может подскажете?

Пришлите зашифрованные файлы в Вирлаб, в категорию "Запрос на лечение" - будет код к программе, если это был тот же Энкодер.
С уважением,
Борис А. Чертенко aka Borka.

#14 anton_starlight

anton_starlight

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 07 Июнь 2012 - 15:50

отправил. а че нельзя сказать его вслух чтоб попытаться дешифровать этим? это какая то пещерная магия?

#15 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 07 Июнь 2012 - 15:52

а каковы параметры у 102 дешифратора? у клиента тоже седня общая папка на сервере накрылась lockdir-ом... может подскажете?


Кодовая фраза: "В огороде - бузина, а в Киеве - дядька" :-)

отправил. а че нельзя сказать его вслух чтоб попытаться дешифровать этим? это какая то пещерная магия?


Да, очень сильное колдунство. Что русскому хорошо, то немцу смерть.

Личный сайт по Энкодерам - http://vmartyanov.ru/


#16 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 07 Июнь 2012 - 15:53

отправил. а че нельзя сказать его вслух чтоб попытаться дешифровать этим? это какая то пещерная магия?

/Включаю отданный в ремонт хрустальный шар - у Вас не Энкодер.102 :)
А так -
1. Файлы зашифрованы разным алгоритмом, следовательно, код будет разным.
2. Заниматься самолечением вредно для здоровья [компьютера].
3. Да, таки пещерная магия.
С уважением,
Борис А. Чертенко aka Borka.

#17 dymmon

dymmon

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 07 Июнь 2012 - 15:59

Потому что параметры запуска для каждого случая свои и сообщают при заявке в вирлаб/техподдержку.

Ясно. Отправил в VMS запрос.

#18 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 07 Июнь 2012 - 16:01

Потому что параметры запуска для каждого случая свои и сообщают при заявке в вирлаб/техподдержку.

Ясно. Отправил в VMS запрос.

Номер тикета?
С уважением,
Борис А. Чертенко aka Borka.

#19 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 07 Июнь 2012 - 16:02

Потому что параметры запуска для каждого случая свои и сообщают при заявке в вирлаб/техподдержку.

Ясно. Отправил в VMS запрос.

Номер тикета?


Не надо, все уже ответил :-)

Личный сайт по Энкодерам - http://vmartyanov.ru/


#20 anton_starlight

anton_starlight

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 08 Июнь 2012 - 04:08

нумер тикета [drweb.com #3436050] очень жду решения иначе кирдык всему


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых