Перейти к содержимому


Фото
- - - - -

Зашифрованы файлы *.uncrpt@gmail_com

uncrpt@gmail_com uncrpt@gmail.com uncrpt зашифрованы файлы uncrpt uncrpt@mail2tor.com

  • Please log in to reply
28 ответов в этой теме

#1 Katry84

Katry84

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 20 Май 2014 - 11:30

Добрый день!
Вчера на почту пришла рассылка от нашего Ген. Дир., якобы "смена рабочего  распорядка согласно закону", отправлено письмо почти всему штату сотрудников, а это больше 150 адресов. Письма были отправлены с её почты, хотя вроде как, её почта не была взломана.
Не знаем что теперь делать, но ущерб серьезный, так как больше половину сотрудников заразились этим шифровальщиком((
Письмо было примерно такого содержания:

 

Уважаемые коллеги, в связи с последними изменениями в Трудовой кодекс РФ (Федеральный закон от 2

апреля  2014  г.  N  56-ФЗ) наша компания вносит некоторые изменения в Правила внутреннего трудового распорядка организации.
Большая просьба ознакомиться с ними(в аттаче) для дальнейшего подписания в отделе кадров
 
-- 
С уваженим, 
Генеральный директор
М*****на ***на

 

Прикреплен был архив с файлом, при открытии открылся документ с крякозяблами. Через минут 10-15 вылезло окошко след.содержания:

 

 

Как не прискорбно, но Вы стали жертвой целевой атаки

Все файлы, имеющие расширение *.uncrpt@gmail_com, были зашифрованы при помощи алгоритма RSA-1024
 
 1. Никакой сис.админ или антивирусная компания никогда не смогут восстановить файлы
 2. Советуем почитать о взломе 1024-битного RSA ключа: http://ru.wikipedia.org/wiki/Криптоанализ_RSA
 
 3. У Вас есть два варианта:
    а) Форматировать диск и вернуть 0% файлов - неправильный выбор :(
    б) Купить уникальный ключ восстановления и вернуть 100% файлов - Правильно
 
 4. Письма с угрозами приведут к удалению секретного ключа
 5. Более того, все Ваши частоиспользуемые файлы слиты, мы сможем найти им применение
 6. У Вас есть ровно 5 дней (срок годности ключа). Обращайтесь за помощью: uncrpt@gmail.com (или uncrpt@mail2tor.com)
 
 --
 
 Hello, it's me, CryptoLocker! Today I chose you, my friend.
 All your information is encrypted using the MOST STRONG ENCRYPTION in the world - RSA-1024
 
 1. Neither programmer, nor system administrator, nor law officer cannot decode RSA-1024
 2. Stop working and start reading about cracking 1024-bit RSA key: http://bit.ly/1kfA66e
 
 3. You have two variants:
    a) Format HDD and loose ALL important data forever - wrong choice :(
    B) Buy UNIQUE uncryption key and restore 100% of data - RIGHT choice
 
 4. Threatening letters will cause deleting of your Private RSA key
 5. Moreover, we have all your frequently-used files, and we can find them useful
 6. Unfortunately, you have only 5 days (Private key expires). E-mail us: uncrpt@gmail.com (or uncrpt@mail2tor.com)
 
 
 
DATA ENCRYPTED:  19.05.2014 17:46

 

Сначала я подумала что это какая-то шутка, но потом увидела, что некоторые файлы на сетевом диске не открываются и имеют расширение *.uncrpt@gmail_com , почитала у вас в темах раздают дешифраторы, могли бы вы отправить нам тоже?

Прикрепляю зашифрованный файл Прикрепленный файл  001 (2).jpg.rar   886,3К   6 Скачано раз

 

Мы им написали на почту, но они выставили очень большую цену, боимся что кинут и не расшифруют ((

 



#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 2 704 Сообщений:

Отправлено 20 Май 2014 - 11:30

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:
  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

#3 VVS

VVS

    The Master

  • Moderators
  • 17 500 Сообщений:

Отправлено 20 Май 2014 - 11:33

Выполните п. № 3 сообщения № 2 в этой теме.

При этом учтите, что услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#4 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 20 Май 2014 - 11:34

Прочтите 2 пост.

А файлы вряд ли были слиты...это какой канал надо иметь.


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#5 gboldirev

gboldirev

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 21 Май 2014 - 16:23

А сколько денег захотели?



#6 Katry84

Katry84

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 21 Май 2014 - 18:23

Мне не разрешило начальство тут публиковать эту информацию, но, судя по всему это было целевым заражением нашей компании (также все сетевые диски были заблокированы)

Самое ужасное, что у нас сидит IT отдел из 15 человек и никто ничего не смог сделать. Теперь все уволены.

Мы заплатили, они отправили три разных дешифратора и все слава Богу расшифровали. но сказали вроде как на 1 открытие на компьютере, не поняла если честно.
Я могу их сюда отправить, возможно кому пригодятся. Стоимость была четырехзначной евро


#7 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 21 Май 2014 - 18:25

Гыгы. Почтовый червь там, ни о какой целевой атаке речи не идет :-)


Личный сайт по Энкодерам - http://vmartyanov.ru/


#8 Katry84

Katry84

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 21 Май 2014 - 18:27

Гыгы. Почтовый червь там, ни о какой целевой атаке речи не идет :-)

Я понимаю, что Вам смешно, но времени ждать от Вас результатов и помощи не было(



#9 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 21 Май 2014 - 18:28

 

Гыгы. Почтовый червь там, ни о какой целевой атаке речи не идет :-)

Я понимаю, что Вам смешно, но времени ждать от Вас результатов и помощи не было(

 

А результатов можно и не ждать, не расшифровать такое :-)


Личный сайт по Энкодерам - http://vmartyanov.ru/


#10 gboldirev

gboldirev

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 22 Май 2014 - 09:35

 

Мне не разрешило начальство тут публиковать эту информацию, но, судя по всему это было целевым заражением нашей компании (также все сетевые диски были заблокированы)

Самое ужасное, что у нас сидит IT отдел из 15 человек и никто ничего не смог сделать. Теперь все уволены.

Мы заплатили, они отправили три разных дешифратора и все слава Богу расшифровали. но сказали вроде как на 1 открытие на компьютере, не поняла если честно.
Я могу их сюда отправить, возможно кому пригодятся. Стоимость была четырехзначной евро

 

Вряд ли целевая атака. К сетевым дискам просто был у пользователя доступ. У меня менеджер запустила с почты (письмо от сущуствуюшего клиента, вменяемый текст). Запустила на терминалке(. Но прав дисковых было немного, да и я вовремя процесс этот завершил, благо сразу отписалась. Буду рад дешифраторам, хотя, в принципе, бэкапы всего есть. bogena@yandex.ru или скайп boldirev_ga . Мне объявили 130 евро, потом дешифратор. Я готов 500р выделить, да и то сначала стулья)



#11 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 22 Май 2014 - 10:09

Вряд ли тут будет расшифровка, хотя, в принципе, если кто-то поделится расшифровщиком шансы будут.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#12 gboldirev

gboldirev

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 22 Май 2014 - 11:25

Вряд ли тут будет расшифровка, хотя, в принципе, если кто-то поделится расшифровщиком шансы будут.

Ну если Katry84  уже  заплатили, уверен, поделится)


Сообщение было изменено gboldirev: 22 Май 2014 - 11:25


#13 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 22 Май 2014 - 11:40

 

Вряд ли тут будет расшифровка, хотя, в принципе, если кто-то поделится расшифровщиком шансы будут.

Ну если Katry84  уже  заплатили, уверен, поделится)

 

Есть 4 варианта: поделятся или нет и автор трояна дурак или нет. Только если автор дурак и поделятся что-то выйдет.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#14 gboldirev

gboldirev

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 22 Май 2014 - 11:54

 

 

Вряд ли тут будет расшифровка, хотя, в принципе, если кто-то поделится расшифровщиком шансы будут.

Ну если Katry84  уже  заплатили, уверен, поделится)

 

Есть 4 варианта: поделятся или нет и автор трояна дурак или нет. Только если автор дурак и поделятся что-то выйдет.

 

Думаешь, в каждом письме уникальный ключ? или в алгоритме учавствует адрес получателя?



#15 Dmitry_rus

Dmitry_rus

    Massive Poster

  • Helpers
  • 2 930 Сообщений:

Отправлено 22 Май 2014 - 12:01

Если автор - не дурак, то так оно и будет. Для каждого случая - свой уникальный ключ. И тогда можно не делиться - все равно особого толку не выйдет.



#16 gboldirev

gboldirev

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 22 Май 2014 - 13:16

Если автор - не дурак, то так оно и будет. Для каждого случая - свой уникальный ключ. И тогда можно не делиться - все равно особого толку не выйдет.

Ну я думаю, там всё-таки массовая рассылка. Разве что ещё и ключ для шифрования - зашифрованный адрес получателя


Сообщение было изменено gboldirev: 22 Май 2014 - 13:19


#17 22445577

22445577

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 23 Май 2014 - 11:58

Всем привет. Этот троян у меня криво сработал: не почистил свои временные файлы, оставил папку gnupg, в ней есть random_seed, pubring.gpg целый, secring.gpg с нулевым размером, и куча файлов промежуточных. Если кто разбирается в криптографии могу отправить всё архивом.



#18 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 23 Май 2014 - 12:04

Нет там приватного ключа.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#19 22445577

22445577

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 23 Май 2014 - 13:20

Нет там приватного ключа.

xmailer.netne.net crypted.php?trg=%COMPUTERNAME%/%USERNAME%&bgn=%startime%&end=%endtime% похоже, ключ должен был попасть сюда.



#20 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 23 Май 2014 - 13:37

 

Нет там приватного ключа.

xmailer.netne.net crypted.php?trg=%COMPUTERNAME%/%USERNAME%&bgn=%startime%&end=%endtime% похоже, ключ должен был попасть сюда.

 

Почитайте про RSA и асимметричную криптографию.


Личный сайт по Энкодерам - http://vmartyanov.ru/



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых