Перейти к содержимому


Фото
* * * * * 1 Голосов

Зашифрованы файлы, *.paycrypt@gmail_com и др.


  • Please log in to reply
841 ответов в этой теме

#1 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 18 Июль 2014 - 21:21

Признаки заражения: Файлы зашифрованы, дополнительные расширения *.paycrypt@gmail_com, *.unstyx@gmail_com и *.unblck@gmail_com, *.keybtc@gmail_com. Если у вас другие расширения - вам в другую тему.

 

Информация по трояну: BAT.Encoder.2. Распространение этого трояна началось в середине мая 2014 года, но модификация с расширением *.paycrypt@gmail_com могла появиться позже.

Расширение *.keybtc@gmail_com к файлам дописывает BAT.Encoder.23, его распространение началось 06.08.2014, вторая волна - 25.08.2014

 

Криптография: GPG. Для paycrypt@gmail_com известны такие ключи: F107EA9F/E578490A и F05CF9EE/3ED78E85. Для unblck@gmail_com известен ключ F107EA9F/E578490A. Для unstyx@gmail_com известны ключи F107EA9F/E578490A и 01270FE6/F3E75FD0

Для *.keybtc@gmail_com известен ключ A3CE7DBE

 

Расшифровка: возможна для некоторых вариантов, которые идентифицируются по ID ключа:

F05CF9EE/3ED78E85 - нет расшифровки.

A3CE7DBE/AAB62875 - нет расшифровки. Но известен 1 случай, когда с этим ключом и *.keybtc@gmail_com расшифровка получилась!

AAB62875 - нет расшифровки.

F107EA9F/E578490A - есть расшифровка

3DF229D3 - есть расшифровка

01270FE6/F3E75FD0 - есть расшифровка

Про получение ID ключа - читайте RFC

 

 

Что необходимо сделать:

- озаботиться информационной безопасностью ваших машин.

- обратиться с заявлением о совершенном преступлении в правоохранительные органы.

- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 зашифрованный файл и файлы key.private. Дожидаться ответа на Вашу почту сотрудника Dr.Web и далее следовать его указаниям.

 

Что НЕ нужно делать:
- менять расширение у зашифрованных файлов.

- удалять любые файлы, чистить или переставлять систему.

- трогать файл key.private


Сообщение было изменено v.martyanov: 22 Октябрь 2014 - 14:29
keybtc@gmail_com

Личный сайт по Энкодерам - http://vmartyanov.ru/


#2 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 18 Июль 2014 - 21:23

Информация обязательно будет дополнена, ибо пишу я уже из дома и материалов у меня с собой просто нет. А картинка наконец сложилась :-)


Личный сайт по Энкодерам - http://vmartyanov.ru/


#3 Svarog32

Svarog32

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 19 Июль 2014 - 12:25

Развод(Никакой ключ не высылают,люди,не ведитесь,не тратьте деньги и время на этих террористов



#4 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 19 Июль 2014 - 12:41

Развод(Никакой ключ не высылают,люди,не ведитесь,не тратьте деньги и время на этих террористов

Вы опаздали на пару дней: часть приватных ключей утекла в общий доступ.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#5 Oleg-73

Oleg-73

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 19 Июль 2014 - 14:02

Развод(Никакой ключ не высылают,люди,не ведитесь,не тратьте деньги и время на этих террористов

 

Аналогично: не смогли расшифровать высланный им файл и прекратили переписку.



#6 Lunatiq

Lunatiq

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 21 Июль 2014 - 16:59

по ID F05CF9EE ожидается какая либо информация и способы расшифровки? Попался именно на эту версию... вот думаю что делать, или поступать неправильно но вернуть файлы, или надеяться на лучшее.

Из комплекта файлов что остались у меня есть:

key.private

некоторые копии не зашифрованных файлов



#7 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 21 Июль 2014 - 17:03

Расшифровка GPG от нас не зависит вообще.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#8 Lunatiq

Lunatiq

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 21 Июль 2014 - 17:13

Расшифровка GPG от нас не зависит вообще.

тогда от чего/кого она зависит?



#9 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 21 Июль 2014 - 17:16

 

Расшифровка GPG от нас не зависит вообще.

тогда от чего/кого она зависит?

 

От владельца ключей.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#10 alina1980

alina1980

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 21 Июль 2014 - 19:13

Денег, конечно жалко, но информация очень нужна была, рискнула-оплатила, удивительно порядочные мошенники- прислали ключ.Но каждый решает сам.



#11 sayadm

sayadm

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 22 Июль 2014 - 12:09

+1 Столкнулись с ключом F05CF9EE  Ждем новостей!



#12 sayadm

sayadm

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 22 Июль 2014 - 13:57

Кста, народ будьте бдительны! Мы выковырнули батник вируса и выяснили. Наша модификация помимо шифрования фаилов, еще с помощью WebBrowserPassView пыталась сдампаить сохраненные пароли и отправить по почте на paycrypt@gmail.com с ящика cptbase@yandex.ru, от него пароль был в открытом виде, Bigmoney, но на текущий момент видно он уже Яндексом заблокирован :-) Т.ч. Если вдруг вы пояймали эту заразу, меняйте пароли! 



#13 Lunatiq

Lunatiq

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 22 Июль 2014 - 17:51

Кста, народ будьте бдительны! Мы выковырнули батник вируса и выяснили. Наша модификация помимо шифрования фаилов, еще с помощью WebBrowserPassView пыталась сдампаить сохраненные пароли и отправить по почте на paycrypt@gmail.com с ящика cptbase@yandex.ru, от него пароль был в открытом виде, Bigmoney, но на текущий момент видно он уже Яндексом заблокирован :-) Т.ч. Если вдруг вы пояймали эту заразу, меняйте пароли! 

Спасибо за информацию!



#14 Lunatiq

Lunatiq

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 22 Июль 2014 - 19:07

Денег, конечно жалко, но информация очень нужна была, рискнула-оплатила, удивительно порядочные мошенники- прислали ключ.Но каждый решает сам.

В течении какого времени прислали ключ?



#15 Lvenok

Lvenok

    Poster

  • Posters
  • 1 732 Сообщений:

Отправлено 22 Июль 2014 - 19:18

В течении какого времени прислали ключ?

Да это сами же мошенники скорее всего и пишут ;)



#16 Lunatiq

Lunatiq

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 22 Июль 2014 - 19:19

 

В течении какого времени прислали ключ?

Да это сами же мошенники скорее всего и пишут ;)

 

Тоже заметил такую тенденцию :) как правило все такие сообщения от людей с 1м постом.



#17 damir_shar

damir_shar

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 22 Июль 2014 - 21:27

Добрый день! Хочу выразить большую благодарность специалистам компании drweb! Полтора месяца назад поймал вирус *.unblck@gmail_com, к сожалению вирус успел пройтись по 3-м локальным дискам, и даже перейти на съемный носитель. Практически все файлы оказались зашифрованы, особенно было жаль 5-ти летний архив фотографий, копия которых тоже находилась (как раз таки на подключенном носителе)... На момент заражения стоял старый бесплатный drweb, который распространяет местный провайдер интернета Ufanet. Гуглил форумы, читал, пытался расшифровать сам (с вымогателями не связывался из принципа, ибо нефиг этих тварей кормить) ... 

После того, как понял, что я ничего самостоятельно не смогу сделать... Купил лицензию на 3 месяца менее чем за 300 руб., и стал долбить ваш саппорт) По началу все было глухо... Был даже закрыт мой первый тикет.. Второй же созданный, я обновлял раз в неделю вопросами типа: "есть ли что-то новенькое по моему вопросу?" Периодически продолжал искать... И вчера на форуме наткнулся на эту тему... В свой тикет продублировал файлы... Получил ответ, что расшифровка есть и сегодня весь день переписывался с саппортом... В конце рабочего дня получил хорошую и подробную инструкцию по расшифровке файлов... Сейчас все файлы расшифрованы, все открывается, все работает!!! Безумно вам благодарен за вашу работу! Спасибо вам большое! Дай вам бог здоровье и сил в борьбе с нечистью!

 

 

P.S. За долгое время работы с компьютером у меня было много антивирусов: и Касперский стоял, и нод 32. Всегда кидался на скидки и корпоративные лицензии... Но с сегодняшнего дня я понял, что на защите компьютера экономить нельзя! Ребята, теперь я ваш клиент навеки! И конечно бэкапы файлов, нужно хранить не на подключенном носителе, а где-нибудь на полке (в виде дисков)... Еще раз спасибо, выручили! У вас пожалуй лучшая лаборатория из всех мне известных!



#18 Zroot

Zroot

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 23 Июль 2014 - 09:16

Добрый день!

Словили paycrypt@gmail_com как узнать ключи?

Есть файл оригинальный и зашифрованный (почти в 7раз меньше оригинального) и файлы KEY.PRIVATE и PAYCRYPT_GMAIL_COM.txt



#19 @n!t@

@n!t@

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 23 Июль 2014 - 09:56

Добрый день. Есть ли возможность дешифровать файлы, если key.private не сгенерировался? Все остальные файлы присутствуют.



#20 Lunatiq

Lunatiq

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 23 Июль 2014 - 10:08

Добрый день. Есть ли возможность дешифровать файлы, если key.private не сгенерировался? Все остальные файлы присутствуют.


А вы уверены? Везде проверили? Поиск проводили?

Добрый день!
Словили paycrypt@gmail_com как узнать ключи?
Есть файл оригинальный и зашифрованный (почти в 7раз меньше оригинального) и файлы KEY.PRIVATE и PAYCRYPT_GMAIL_COM.txt


Узнать ID ключа? Через gpg4win


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых