Граждане пострадавшие!
Вниманию тех, чьи файлы были зашифрованы и кто получил предложение выкупить файлы от злоумышленника с мейлом id022@yahoo.com. Вот дешифратор http://files.mail.ru/MOPDAE Троим он уже помог, так что пробуйте.
P.S. Не забывайте делать резервные копии перед применением дешифратора.
Дешифратор для пострадавших от id022@yahoo.com
Автор
dymmon
, июн 07 2012 11:45
25 ответов в этой теме
#2
Dr.Robot
-
- Helpers
- 3 100 Сообщений:
Poster
Отправлено 07 Июнь 2012 - 11:45
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и RkU. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Что не нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума;
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и RkU. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Что не нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума;
#3
Мухомор
-
- Posters
- 53 Сообщений:
Newbie
Отправлено 07 Июнь 2012 - 11:52
Подозрительный файл https://www.virustotal.com/file/7f9be4beb90bfadc9c6be35e4a5c73c9e6084e21296fe8f285e59b44e48cc30d/analysis/
#4
dymmon
-
- Posters
- 6 Сообщений:
Newbie
Отправлено 07 Июнь 2012 - 11:56
Не вижу в этом ничего удивительного ) Если старашно, можете попробовать применить этот дешифратор в изолированной системе.Подозрительный файл
#5
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 07 Июнь 2012 - 12:02
Не вижу в этом ничего удивительного ) Если старашно, можете попробовать применить этот дешифратор в изолированной системе.Подозрительный файл
Ща свой сделаем :-)
Личный сайт по Энкодерам - http://vmartyanov.ru/
#6
dymmon
-
- Posters
- 6 Сообщений:
Newbie
Отправлено 07 Июнь 2012 - 12:09
О, круто! Владимир, если нужны шифрованные и дешифрованные файлы, могу выложить. У меня есть подозрение, что там какое-то условное шифрование, которе вовсе не шифрование, а дописывание какого-то мусора.. Я прав?Ща свой сделаем :-)
#7
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 07 Июнь 2012 - 12:10
О, круто! Владимир, если нужны шифрованные и дешифрованные файлы, могу выложить. У меня есть подозрение, что там какое-то условное шифрование, которе вовсе не шифрование, а дописывание какого-то мусора.. Я прав?Ща свой сделаем :-)
Не, уже ничего не надо. Понятно от какой модификации.
Там происходит замена оригинальных данных мусором, а зашифрованные данные записаны в хвосте, шифрование честное, RSA.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#8
dymmon
-
- Posters
- 6 Сообщений:
Newbie
Отправлено 07 Июнь 2012 - 12:41
Ясно. Тогда в какую программу будет включен дешифратор и когда? И сообщите, пожалуйста, сюда когда это случится. Заранее спасибо.Не, уже ничего не надо. Понятно от какой модификации.
Там происходит замена оригинальных данных мусором, а зашифрованные данные записаны в хвосте, шифрование честное, RSA.
#9
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 07 Июнь 2012 - 13:01
В ftp://ftp.drweb.com/pub/drweb/tools/te102decrypt.exe сегодняЯсно. Тогда в какую программу будет включен дешифратор и когда? И сообщите, пожалуйста, сюда когда это случится. Заранее спасибо.Не, уже ничего не надо. Понятно от какой модификации.
Там происходит замена оригинальных данных мусором, а зашифрованные данные записаны в хвосте, шифрование честное, RSA.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#10
dymmon
-
- Posters
- 6 Сообщений:
Newbie
Отправлено 07 Июнь 2012 - 14:02
При запуске утилиты и после принятия соглашения выскакивает "Error: Неверный ключ" (ОС Windows7 SP1).В ftp://ftp.drweb.com/pub/drweb/tools/te102decrypt.exe сегодня
#11
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 07 Июнь 2012 - 14:14
Потому что параметры запуска для каждого случая свои и сообщают при заявке в вирлаб/техподдержку.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#12
anton_starlight
-
- Posters
- 7 Сообщений:
Newbie
Отправлено 07 Июнь 2012 - 15:33
а каковы параметры у 102 дешифратора? у клиента тоже седня общая папка на сервере накрылась lockdir-ом... может подскажете?
#13
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 07 Июнь 2012 - 15:47
Пришлите зашифрованные файлы в Вирлаб, в категорию "Запрос на лечение" - будет код к программе, если это был тот же Энкодер.а каковы параметры у 102 дешифратора? у клиента тоже седня общая папка на сервере накрылась lockdir-ом... может подскажете?
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#14
anton_starlight
-
- Posters
- 7 Сообщений:
Newbie
Отправлено 07 Июнь 2012 - 15:50
отправил. а че нельзя сказать его вслух чтоб попытаться дешифровать этим? это какая то пещерная магия?
#15
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 07 Июнь 2012 - 15:52
а каковы параметры у 102 дешифратора? у клиента тоже седня общая папка на сервере накрылась lockdir-ом... может подскажете?
Кодовая фраза: "В огороде - бузина, а в Киеве - дядька" :-)
отправил. а че нельзя сказать его вслух чтоб попытаться дешифровать этим? это какая то пещерная магия?
Да, очень сильное колдунство. Что русскому хорошо, то немцу смерть.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#16
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 07 Июнь 2012 - 15:53
/Включаю отданный в ремонт хрустальный шар - у Вас не Энкодер.102отправил. а че нельзя сказать его вслух чтоб попытаться дешифровать этим? это какая то пещерная магия?
А так -
1. Файлы зашифрованы разным алгоритмом, следовательно, код будет разным.
2. Заниматься самолечением вредно для здоровья [компьютера].
3. Да, таки пещерная магия.
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#17
dymmon
-
- Posters
- 6 Сообщений:
Newbie
Отправлено 07 Июнь 2012 - 15:59
Ясно. Отправил в VMS запрос.Потому что параметры запуска для каждого случая свои и сообщают при заявке в вирлаб/техподдержку.
#18
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 07 Июнь 2012 - 16:01
Номер тикета?Ясно. Отправил в VMS запрос.Потому что параметры запуска для каждого случая свои и сообщают при заявке в вирлаб/техподдержку.
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#19
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 07 Июнь 2012 - 16:02
Номер тикета?Ясно. Отправил в VMS запрос.Потому что параметры запуска для каждого случая свои и сообщают при заявке в вирлаб/техподдержку.
Не надо, все уже ответил :-)
Личный сайт по Энкодерам - http://vmartyanov.ru/
#20
anton_starlight
-
- Posters
- 7 Сообщений:
Newbie
Отправлено 08 Июнь 2012 - 04:08
нумер тикета [drweb.com #3436050] очень жду решения иначе кирдык всему
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых
