Перейти к содержимому


Фото
- - - - -

Зашифрованы файлы, sos@rome.com

Автор v.martyanov , июл 24 2013 17:32

  • Please log in to reply
13 ответов в этой теме

#1 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 24 Июль 2013 - 17:32

Признаки заражения: Файлы зашифрованы, дополнительное расширение .sos@rome.com_Txx, где xx - число. Максимально известное число - 31. Если у вас другой email - вам в другую тему.

 

Информация по трояну: Горячо всеми любимый Trojan.Encoder.102. Распространяется как в письма с вложением, так и по дискам, доступным с зараженных машин.

 

Расшифровка: Без секретной части ключа, которая только у автора трояна или в его утилите для расшифровки - невозможна. Возможно только частичное восстановление JPG, DOC и DBF.

По состоянию на 24.07.2013 есть полноценная расшифровка только для sos@rome.com_T9, sos@rome.com_T6 (не тестировали).

 

Криптография: Основная проблема в том, что используется RSA. Для тех, кто считает что это просто, что мы должны расшифровывать это за 3 дня - предлагаю разложить на простые множители число 7045468556108937209124021108016797853137224510033291735402711303430593

1766600876125567023149334231410982510321104774820380185353487673812477

6740260133999313329483634698622553458721654503408532977789310911094074140229132163444279940996038117

Задача по расшифровке данных сводится именно к разложению подобных чисел на множители.

 

Что необходимо сделать:

- озаботиться информационной безопасностью ваших машин.

- обратиться с заявлением о совершенном преступлении в правоохранительные органы.

- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 зашифрованный doc-файл. Дожидаться ответа на Вашу почту сотрудника Dr.Web и далее следовать его указаниям.

 

Что НЕ нужно делать:
- менять расширение у зашифрованных файлов;
- использовать самостоятельно без консультации с сотрудниками Dr. Web любые программы для расшифровки/восстановления данных.

- Чистить или лечить машину чем либо: удалять/переименовывать какие-либо файлы, чистить почту, временные файлы и т.д.


Сообщение было изменено v.martyanov: 17 Сентябрь 2013 - 13:45

Личный сайт по Энкодерам - http://vmartyanov.ru/

#2 VVS

VVS

    The Master

  • Moderators
  • 19 385 Сообщений:

Отправлено 25 Июль 2013 - 09:05

DmitryWeb, подобное на форуме публиковать нельзя.

Модератор.


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid

#3 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 25 Июль 2013 - 10:46

DmitryWeb, подобное на форуме публиковать нельзя.

Модератор.

Залей мне в личку, плиз!



Спасибо за файл, как только он ко мне попадет - посмотрю и если будут ключи - добавлю.


Личный сайт по Энкодерам - http://vmartyanov.ru/

#4 DmitryWeb

DmitryWeb

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 25 Июль 2013 - 15:57

могу прислать шифрованные и нешифрованные файлы


#5 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 25 Июль 2013 - 16:08

могу прислать шифрованные и нешифрованные файлы

Да, один шифрованный файл выложите на форуме. Желательно doc. Проверю на нем расшифровку.


Личный сайт по Энкодерам - http://vmartyanov.ru/

#6 Evgen_dd

Evgen_dd

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 25 Июль 2013 - 23:24

Доброго времени!

 

Бьюсь с " .sos@rome.com_T21 "

 

- Заражение прошло непонятно откуда, почту не нашел.

- Файлы зашифровались NAME.EXT.sos@rome.com_T21

 

Письмо создателям :-):

Received: from mxfront2.mail.yandex.net ([127.0.0.1])
	by mxfront2.mail.yandex.net with LMTP id B3VOdpBW
	for <а2553131@yandex.ru>; Thu, 25 Jul 2013 01:11:03 +0400
Received: from mout.gmx.net (mout.gmx.net [74.208.4.201])
	by mxfront2.mail.yandex.net (nwsmtp/Yandex) with ESMTP id nnpMj5JLU3-B2m4OjEI;
	Thu, 25 Jul 2013 01:11:02 +0400
X-Yandex-Front: mxfront2.mail.yandex.net
X-Yandex-TimeMark: 1374700262
X-Yandex-Spam: 1
Received: from mailout-us.gmx.com ([172.19.198.46]) by mrigmx.server.lan
 (mrigmxus002) with ESMTP (Nemesis) id 0MMFdh-1V1J7r0OFR-0081Sf for
 <а2553131@yandex.ru>; Wed, 24 Jul 2013 23:11:02 +0200
Received: (qmail 18802 invoked by uid 0); 24 Jul 2013 21:11:02 -0000
Received: from 128.68.59.13 by rms-us017 with HTTP
Content-Type: multipart/alternative;
 boundary="========GMXBoundary127361374700260799624"
Date: Wed, 24 Jul 2013 17:11:00 -0400
From: "Flavius Josephus" <sos@rome.com>
Message-ID: <20130724211100.127360@gmx.com>
MIME-Version: 1.0
Subject: =?utf-8?B?UmU6INCe0YfQtdC90Ywg0L3Rg9C20L3RiyDQtNCw0L3QvdGL0LUuLi4=?=
To: "Ivan Ivanov" <а2553131@yandex.ru>
X-Flags: 0001
X-Mailer: GMX.com Web Mailer
x-registered: 0
X-GMX-UID: syeCcaRQ3zOl2LaFUH4hOWh+IGRvb4Bf
Return-Path: sos@rome.com
X-Yandex-Forward: f7f5655fc058d405ff8426b134bd5184

--========GMXBoundary127361374700260799624
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: 8bit

Здравствуйте, дорогие советские друзя! Для разблокировки и получения дешифратора, Вам необходимо
пожертвовать детям африки 2 биткоина при помощи электронного платежа по курсу https://metabank.ru/ 
Так же для проверки,вы можете прислать нам зашифрованный файл, мы дешифруем и вышлем ваш файл в исходном состоянии.
----- Original Message -----
From: Ivan Ivanov
Sent: 07/24/13 11:29 PM
To: sos@rome.com
Subject: Очень нужны данные...

Товарисчи вирусописатели! Вы конечно супер поработали, а теперь подскажите как расшифровать файлы? name.ext.sos@rome.com_T21

--========GMXBoundary127361374700260799624
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: quoted-printable

<span style=3D'font-family:Verdana'><span style=3D'font-size:12px'><div>=D0=
=97=D0=B4=D1=80=D0=B0=D0=B2=D1=81=D1=82=D0=B2=D1=83=D0=B9=D1=82=D0=B5, =D0=
=B4=D0=BE=D1=80=D0=BE=D0=B3=D0=B8=D0=B5 =D1=81=D0=BE=D0=B2=D0=B5=D1=82=D1=
=81=D0=BA=D0=B8=D0=B5 =D0=B4=D1=80=D1=83=D0=B7=D1=8F! =D0=94=D0=BB=D1=8F =
=D1=80=D0=B0=D0=B7=D0=B1=D0=BB=D0=BE=D0=BA=D0=B8=D1=80=D0=BE=D0=B2=D0=BA=D0=
=B8 =D0=B8 =D0=BF=D0=BE=D0=BB=D1=83=D1=87=D0=B5=D0=BD=D0=B8=D1=8F =D0=B4=D0=
=B5=D1=88=D0=B8=D1=84=D1=80=D0=B0=D1=82=D0=BE=D1=80=D0=B0, =D0=92=D0=B0=D0=
=BC =D0=BD=D0=B5=D0=BE=D0=B1=D1=85=D0=BE=D0=B4=D0=B8=D0=BC=D0=BE</div><div>=
=D0=BF=D0=BE=D0=B6=D0=B5=D1=80=D1=82=D0=B2=D0=BE=D0=B2=D0=B0=D1=82=D1=8C =
=D0=B4=D0=B5=D1=82=D1=8F=D0=BC =D0=B0=D1=84=D1=80=D0=B8=D0=BA=D0=B8 &nbsp;2=
 =D0=B1=D0=B8=D1=82=D0=BA=D0=BE=D0=B8=D0=BD=D0=B0 &nbsp;=D0=BF=D1=80=D0=B8 =
=D0=BF=D0=BE=D0=BC=D0=BE=D1=89=D0=B8 =D1=8D=D0=BB=D0=B5=D0=BA=D1=82=D1=80=
=D0=BE=D0=BD=D0=BD=D0=BE=D0=B3=D0=BE &nbsp;=D0=BF=D0=BB=D0=B0=D1=82=D0=B5=
=D0=B6=D0=B0 =D0=BF=D0=BE =D0=BA=D1=83=D1=80=D1=81=D1=83 https://metabank.r=
u/&nbsp;</div><div>=D0=A2=D0=B0=D0=BA =D0=B6=D0=B5 =D0=B4=D0=BB=D1=8F =D0=
=BF=D1=80=D0=BE=D0=B2=D0=B5=D1=80=D0=BA=D0=B8,=D0=B2=D1=8B =D0=BC=D0=BE=D0=
=B6=D0=B5=D1=82=D0=B5 =D0=BF=D1=80=D0=B8=D1=81=D0=BB=D0=B0=D1=82=D1=8C =D0=
=BD=D0=B0=D0=BC =D0=B7=D0=B0=D1=88=D0=B8=D1=84=D1=80=D0=BE=D0=B2=D0=B0=D0=
=BD=D0=BD=D1=8B=D0=B9 =D1=84=D0=B0=D0=B9=D0=BB, =D0=BC=D1=8B =D0=B4=D0=B5=
=D1=88=D0=B8=D1=84=D1=80=D1=83=D0=B5=D0=BC =D0=B8 =D0=B2=D1=8B=D1=88=D0=BB=
=D0=B5=D0=BC =D0=B2=D0=B0=D1=88 =D1=84=D0=B0=D0=B9=D0=BB =D0=B2 =D0=B8=D1=
=81=D1=85=D0=BE=D0=B4=D0=BD=D0=BE=D0=BC =D1=81=D0=BE=D1=81=D1=82=D0=BE=D1=
=8F=D0=BD=D0=B8=D0=B8.</div><p style=3D"margin:0px; padding:0px;" >=C2=A0</=
p><blockquote style=3D"border-left: 1px solid #CCC; padding-left: 5px; marg=
in-left: 5px; margin-bottom: 0px; margin-top: 0px; margin-right: 0px;" type=
=3D"cite"><p style=3D"margin:0px; padding:0px;" ><span style=3D"font-family=
:Verdana"><span style=3D"font-size:12px">----- Original Message -----</span=
></span></p><p style=3D"margin:0px; padding:0px;" ><span style=3D"font-fami=
ly:Verdana"><span style=3D"font-size:12px">From: Ivan Ivanov</span></span><=
/p><p style=3D"margin:0px; padding:0px;" ><span style=3D"font-family:Verdan=
a"><span style=3D"font-size:12px">Sent: 07/24/13 11:29 PM</span></span></p>=
<p style=3D"margin:0px; padding:0px;" ><span style=3D"font-family:Verdana">=
<span style=3D"font-size:12px">To: sos@rome.com</span></span></p><p style=
=3D"margin:0px; padding:0px;" ><span style=3D"font-family:Verdana"><span st=
yle=3D"font-size:12px">Subject: =D0=9E=D1=87=D0=B5=D0=BD=D1=8C =D0=BD=D1=83=
=D0=B6=D0=BD=D1=8B =D0=B4=D0=B0=D0=BD=D0=BD=D1=8B=D0=B5...</span></span></p=
>=C2=A0<div><div><pre style=3D"white-space: pre-wrap; word-wrap: break-word=
; font-size:11;pre">=D0=A2=D0=BE=D0=B2=D0=B0=D1=80=D0=B8=D1=81=D1=87=D0=B8 =
=D0=B2=D0=B8=D1=80=D1=83=D1=81=D0=BE=D0=BF=D0=B8=D1=81=D0=B0=D1=82=D0=B5=D0=
=BB=D0=B8!=20

=D0=92=D1=8B =D0=BA=D0=BE=D0=BD=D0=B5=D1=87=D0=BD=D0=BE =D1=81=D1=83=D0=BF=
=D0=B5=D1=80 =D0=BF=D0=BE=D1=80=D0=B0=D0=B1=D0=BE=D1=82=D0=B0=D0=BB=D0=B8, =
=D0=B0 =D1=82=D0=B5=D0=BF=D0=B5=D1=80=D1=8C =D0=BF=D0=BE=D0=B4=D1=81=D0=BA=
=D0=B0=D0=B6=D0=B8=D1=82=D0=B5 =D0=BA=D0=B0=D0=BA =D1=80=D0=B0=D1=81=D1=88=
=D0=B8=D1=84=D1=80=D0=BE=D0=B2=D0=B0=D1=82=D1=8C =D1=84=D0=B0=D0=B9=D0=BB=
=D1=8B?=20

name.ext.sos@rome.com_T21</pre></div></div></blockquote><p style=3D"margin:=
0px; padding:0px;" >=C2=A0</p></span></span>

--========GMXBoundary127361374700260799624--

Через te102decrypt.exe

расшифровываются ! не без небольших косяков *.doc *.jpg, создается по нескольку файлов, можно выбрать наиболее удачный! 5+

 

*.xls вся структура повреждена, доступен только просто текст.

 

*.pdf, *.xml, *.dbf, *.db3, *.1CD, *.zip, *.rar, *.rtf, *.xlsx, *.docx - программа просто не видит и игнорирует - жаль.

 

Остальные файлы вроде не зашифрованы

 

В целом заражено в районе 10000 файлов, пусть нужных из ни 30% а это около 3000шт..... грустно.

 

Также по датам файлов нашел в папке: 

C:\Documents and Settings\User\Local Settings\Temp\*.*

пару файлов очень подозрительных

 

3fc7e.exe - размером 131072 байт, создан 23 июля 2013 г., 10:59:07, изменен 23 июля 2013 г., 10:59:08

 

312.exe - размером 322601 байт, создан 23 июля 2013 г., 10:59:13, изменен 23 июля 2013 г., 10:59:18

 

Прикладываю зашифрованные файлы всех найденных расширений, кроме *.1CD т.к. большой размер. А эти подозрительные при запросе.

 

Комп пока не чищу, могу сделать все что нужно.

 

 

Прикрепленные файлы:


#7 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 25 Июль 2013 - 23:31

Читайте первое сообщение. Здесь ничего прикладывать не нужно. 


#8 DmitryWeb

DmitryWeb

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 26 Июль 2013 - 09:25

Да, один шифрованный файл выложите на форуме. Желательно doc. Проверю на нем расшифровку.

прицепил файлик doc, пришлось запаковать в zip

Прикрепленные файлы:


#9 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 26 Июль 2013 - 12:14

 

Да, один шифрованный файл выложите на форуме. Желательно doc. Проверю на нем расшифровку.

прицепил файлик doc, пришлось запаковать в zip

 

А, я думал у вас _T6...


Личный сайт по Энкодерам - http://vmartyanov.ru/

#10 INMOTU

INMOTU

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 02 Август 2013 - 06:06

Нужен дешифратор для sos@rome.com_t32

Предложения в ICQ: 379 714 405


#11 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 02 Август 2013 - 12:29

Нужен дешифратор для sos@rome.com_t32

Предложения в ICQ: 379 714 405

 И нам нужен!


Личный сайт по Энкодерам - http://vmartyanov.ru/

#12 INMOTU

INMOTU

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 16 Август 2013 - 14:56

Кому нужен дешифратор для sos@rome.com_t32

Предложения в ICQ: 379 714 405


#13 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 16 Август 2013 - 14:57

 

Кому нужен дешифратор для sos@rome.com_t32

Предложения в ICQ: 379 714 405

 

Нам нужен, засылайте в личку, добавим к себе.


Личный сайт по Энкодерам - http://vmartyanov.ru/

#14 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 10 Сентябрь 2013 - 18:59

Думаю, будет восстановление в относительно нормальном качестве и DBF-файлов!


Личный сайт по Энкодерам - http://vmartyanov.ru/

Назад к Помощь по лечению

Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых

  1. Dr.Web forum
  2. Русские форумы
  3. Антивирусная лаборатория
  4. Помощь по лечению
  5. Privacy Policy
  6. Terms & Rules ·