Вирус, небольшой оффтоп

Судя по следам на форумах, та рассылка что началась с 30 мая, добралась до Ярославля, поэтому будьте осторожны. Может придти письмо может придти от вашего пострадавшего партнера подобного содержания.

"Добрый день.
Нашу компанию внепланово проверяет налоговая.
Прошу Вас ознакомиться со списком документации (см. вложение)
Возможно, найдете оригиналы перечисленных документов, касающихся нашего сотрудничества и пр?

*Название какой-нибудь компании* необходимо будет обязательно предоставить их проверяющим.

В случае необходимости мы пришлем курьера по удобному Вам адресу.

Заранее благодарю!

Файлик во вложении, замаскированный под doc java скрипт со вполне обдуманным названием.

Если вы его запустите и антивирус его пропустит, то фотки/документы/базы будут зашифрованы, а на рабочем столе вы обнаружите файлик с предложением:

"Instruction / Инструкция: (For ENG users - translate.google.com)
UNCRYPT-KEY.exe (пароль: unstyx)

Кратко и по пунктам:

1. Есть проблема - зашифрованые файлы

2. Нужно расшифровать файлы, тогда проблема исчезнет.

3. Проблему решить возможно, не переживайте.

4. Для решения данной проблемы нужно объединить наши ресурсы.
Ваши ресурсы:
- e-mail
- доверие
- электронная валюта, в знак благодарности за столь запоминающийся урок.
Наши ресурсы:
- Разблокировать ключ, необходимый для программы дешифратора (uncrypt-key.exe)
- Поищите на компьютере архив UNCRYPT-KEY.zip - там всё есть.

5. Мы не те, кто шифруют данные, получают средства и затем пропадают.
В данном случае Вы и вправду имеете 100% возможность разблокировать файлы.
Только есть небольшое временное ограничение (срок годности ключа выбирается случайным образом от 5 до 21 дня)

5.1. У Вас есть два варианта:
а) Форматировать диск и вернуть 0% файлов - неправильный выбор
б) Купить уникальный ключ восстановления и вернуть 100% файлов - Правильно

5.2. Письма с угрозами приведут к удалению секретного ключа


6. Для каждого компьютера ключ уникальный.

7. Попробуйте запустите программу uncrypt-key.exe (пароль: unstyx). Ваш напишет - ключ не найден.

8. Как только Вы положите рядом с программой правильный ключ - начнется полная дешифровка данных.
По сути. Есть дешифратор, но нет правильного ключа.

9. Тех.справка:
Ваш случай - ассиметричное шифрование RSA-1024, используется в военной сфере. Взломать невозможно.
При шифровании в разные места компьютера был скопирован специальный ID-файл "KEY.PRIVATE". Не потеряйте его (!)
Вы можете обращаться к своим сис.админам, в антивирусные лаборатории. Они Вам ничем, по правде, не помогут.
Если экономите время и срочно нужны файлы - переходите к п.10.


10. Ваши шаги:
10.1. Получаете гарантию расшифровки - пишите на unstyx@gmail.com (или unstyx@mail2tor.com)
10.2. Структура Вашего письма:
- вложение Вашего ID-файла KEY.PRIVATE (!!!) - поищите его на компьютере
- 1-2 зашифрованных файла для проверки возможности расшифровки
- приблизительное колл-во зашифрованных файлов / компьютеров

10.3. В течение часа Вы получите гарантию и стоимость на Ваш ключ
10.4. Далее производится оплата.
10.5. Мы отправляем Вам ключ UNCRYPT.KEY, Вы его кладете рядом с uncrypt-key.exe
10.6. Закрываете все программы, запускаете процесс дешифровки и ожидаете восстановления.


11. Советы:
11.1. Сделайте на всякий случай копию всех важных зашифрованных файлов на внешние носители
11.2. Если какие-то файлы не будут расшифрованы, мы дорасшифруем без проблем (отправить в архиве)
11.3. Обучите своих работников грамотному обращению с компьютерами
11.4. Получите в конце концов хороший урок. Если потребуются услуги взлома, шифрования - пишите нам анонимно.
11.5. Как защититься от этого? Копируйте раз в неделю все на внешние носители.
11.6. Обязательно купите антивирус Kaspersky CRYSTAL или DrWeb на Ваше предприятие. (передаем им привет)"

Будьте внимательны и осторожны.
На данный момент ВСЕ ссылки которые подзагружает java скрипт еще живые и следовательно он рабочий. А учитывая, что грузится все с copy.com, то забанит их могут нескоро. Впрочем состряпать иную версию можно мгновенно. В последние базы KAV добавлен, Drweb не тестировал.

Обновляйте антивирусы. Сейчас копаюсь в тельце вируса, эстетичное и четкое творение, давно такого не видел. Вероятность расшифровки близка к 0 без оплаты.

Получил такое письмо пару дней назад. Слил архив, сразу проверил на вирусы, каспер вирус вычленил и удалил.

medorov вот нифига себе бизнес...

FinDir Угумс

Самое страшное, что письмо приходит с реального адреса партнера с которым вы когда то вели переписку. Само письмо осмысленно, и бухгалтерия точно жамкнет.
А далее если необновленный/отсутствующий антивирус, полный ппц и рассылка от имени это компании следующим потенциальным жертвам.
Давно не видел подобного. По сравнению с этим гопнические блокираторы с требованием денег на телефон детский сад. Те поначалу вообще ручками сносились за минуту, последние версии с WinPE правда, но все равно.
А это просто жесть.

Интересно, дураки когда-нибудь переведутся?

Я бы поощрял создателей таких вирусов.

medorov
чтож, спасибо за инфу.

2 года назад у нас пару челов получило письмо.... первый раз бесплатно, творой раз 7тыс заплатили...... хотя зашифрованных файлов на сотню млн...

а сколько стоит у вас дешифровка?

Это сообщение отредактировал outsayder - 2.06.2014 - 08:14

outsayder
А хз, я просто скрипт декодировал, слил те файлы что он подгружает с обменника и изучил

Тема старая - до сих пор валяется зашифрованный корсаром FM_121 жесткий... секретарь запустила блин вложение

AltChrome

стыдись! такие как ты, отнимают хлеб у хакеров

у секретаря были полные права ? заябись че

Это не хакеры

Joy да там с распределением прав вообще полная жопа если честно... думаю что и до сих пор так осталось!

очередной эксперт диванный вылез

а чё, для архивирования документов нужны права???... , смысл шифровщика тот же...

Это сообщение отредактировал outsayder - 2.06.2014 - 09:42