Ярославль


Страницы: (17) « Первая ... 15 16 [17]   ( Перейти к первому непрочитанному сообщению ) Ответ в темуСоздание новой темыСоздание опроса

Вирус, небольшой оффтоп

Подписка на тему | Версия для печати
ryab_i4
Дата 19.09.2014 - 11:52
Цитировать сообщение




Чатланин
**

Профиль
Группа: Пользователи
Сообщений: 37
Пользователь №: 66685
Регистрация: 2.02.2011 - 15:19
Dr.Web помог в расшифровании файлов типа *.unstyx@gmail_com, ура наконец решение нашли! Но оно подходит, к сожалению не всем. У этой версии есть модификации на сколько я знаю и способы расшифровки некоторых из этих модификаций пока еще не найдены.

Наша версия шифровальщика очень похожа на эту:
http://yarportal.ru/topic623549.html?view=...&p=19667646
http://yarportal.ru/topic623549.html?view=...&p=19673031
http://yarportal.ru/topic623549.html?view=...&p=19688763

Делюсь с вами примером расшифровки через Dr.Web и полезными ссылками, которые помогали в решении проблемы:

http://safezone.cc/threads/skript-po-pocht...ax.23832/page-2
http://virusinfo.info/showthread.php?t=163112
http://rutracker.org/forum/viewtopic.php?t=4773301
http://virusinfo.info/showthread.php?t=162092

Для обращения за помощью в компанию Dr.Web нужно иметь лицензионный ключ, его можно купить или найти где-нибудь у друзей, у провайдера, иногда его дают бесплатно при покупке какого-нибудь компьютерного оборудования (бонусом, по акции и т.д.) например при покупке компьютера, ноутбука. Можно поискать в старых коробках от компьютера или ноутбука, там он оказался внезапно у моего приятеля. Неиспользованный ключ там валялся 4 года, его то он и использовал.

Итак у вас есть неиспользованный или действующий лицензионный ключ, идем на сайт Dr.Web регистрируемся и оформляем запрос на расшифровку файлов. Не забываем приложить 2-3 зашифрованных файла.
https://support.drweb.com/new/free_unlocker...mp;for_decode=1

Далее в процессе переписки со специалистом из службы поддержки узнаем возможность дешифрования файлов и выполняем инструкции от специалистов, в нашей ситуации:
Скрытый текст
- создайте резервные копии важных данных (в том числе зашифрованных) на отдельный носитель.
- установите GPG (https://www.gnupg.org/download/) если он еще не установлен. 


После этого специалист из тех. поддержки высылает файлы для дешифровки: Сам ключ secring (уникальный для каждого компьютера) и bat файл для дешифровки шифрованных файлов всего диска D:\ т.к. в нашем случае шифрованные файлы лежали только на разделе D:\ вот его содержимое, если кому пригодится:
Код

gpg2 --import secring

FOR /R "D:\" %%a IN (*.unstyx@gmail_com) DO (
RENAME "%%a" "%%~na.gpg"
)
FOR /R "D:\" %%b IN (*.gpg) DO (
echo unstyx|gpg --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "%%b"
)


Низкий поклон сотрудникам компании Dr.Web и уважение!

Это сообщение отредактировал ryab_i4 - 19.09.2014 - 12:10
PMПисьмо на e-mail пользователю
Top
Sett
Дата 29.11.2014 - 10:51
Цитировать сообщение




Мама господина ПЖ
*******

Профиль
Группа: Пользователи
Сообщений: 15821
Пользователь №: 11165
Регистрация: 7.10.2006 - 11:00
DrWeb сделал очередной шаг в решении проблем с вирусом-шифратором
http://news.drweb.com/show/?c=5&i=7098&lng=ru
Цитата
Возможна расшифровка файлов, зашифрованных Trojan.Encoder.398
25 ноября 2014 года

Компания «Доктор Веб» сообщает об успешном создании алгоритма расшифровки файлов, пострадавших от действия троянца-шифровальщика Trojan.Encoder.398. Благодаря разработанному в ходе исследовательских работ инструментарию теперь полное восстановление данных, зашифрованных одной из модификаций этого опасного троянца, возможно примерно в 90% случаев. На сегодняшний день разработчик антивирусов Dr.Web является единственной компанией, способной расшифровать такие файлы.

Троянец-шифровальщик Trojan.Encoder.398 написан на языке Delphi и по ряду признаков представляет собой усовершенствованную версию вредоносной программы Trojan.Encoder.225. Ключи для шифрования файлов пользователя Trojan.Encoder.398 получает с сервера злоумышленников. Запустившись на атакуемом компьютере, троянец копирует себя в одну из системных папок с именем ID.exe, где ID — серийный номер жесткого диска. Затем Trojan.Encoder.398 демонстрирует на экране сообщение о повреждении архива и запускает собственную копию, которая определяет и отправляет на принадлежащий злоумышленникам сервер серийный номер жесткого диска зараженной машины. В ответ троянец получает от удаленного узла конфигурационные данные в формате XML, содержащие параметры шифрования: e-mail для связи со злоумышленниками, ключ шифрования и номер алгоритма, который будет выбран для шифрования, а также часть расширения зашифрованных файлов, после чего начинается сама процедура шифрования.

В настоящий момент специалистам «Доктор Веб» известно несколько модификаций Trojan.Encoder.398, способных использовать до 18 различных алгоритмов шифрования. Троянец может зашифровывать файлы со следующими расширениями: .odt, *.ods, *.odp, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpeg, *.arw, *.dng, *.3fr, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.p12, *.p7b, *.pdf, *.p7c, *.pfx, *.odc, *.rar, *.zip, *.7z, *.png, *.backup, *.tar, *.eml, *.1cd, *.dt, *.md, *.dds.

Для связи злоумышленники обычно используют следующие адреса электронной почты: mrcrtools@aol.com, back_files@aol.com, backyourfile@aol.com, vernut2014@qq.com, yourfiles2014@yahoo.com, restorefiles2014@yahoo.fr, filescrypt2014@foxmail.com и некоторые другие.
PMПисьмо на e-mail пользователю
Top
Razgilday
Дата 29.05.2015 - 12:55
Цитировать сообщение




комплектатор
*****

Профиль
Группа: Пользователи
Сообщений: 4176
Пользователь №: 17927
Регистрация: 4.05.2007 - 09:12
кто нить знает как лечить?
PMПисьмо на e-mail пользователю
Top
dumbI4
Дата 29.05.2015 - 12:57
Цитировать сообщение




Эцилопп
****

Профиль
Группа: Пользователи
Сообщений: 754
Пользователь №: 33431
Регистрация: 14.10.2008 - 11:18
DrWeb знает. на их сайте смотрите
PMПисьмо на e-mail пользователю
Top
JB
Дата 19.04.2016 - 17:13
Цитировать сообщение




Модератор
*******

Профиль
Группа: Пользователи
Сообщений: 19044
Пользователь №: 1022
Регистрация: 12.02.2004 - 17:24
better_call_saul с таким имел кто дело ?
PMПисьмо на e-mail пользователю
Top
REALFOX
Дата 19.04.2016 - 17:32
Цитировать сообщение




Господин ПЖ
********

Профиль
Группа: Пользователи
Сообщений: 37054
Пользователь №: 12318
Регистрация: 24.11.2006 - 11:57
баян ph34r.gif
PM
Top
mdss
Дата 19.04.2016 - 19:28
Цитировать сообщение




В малиновых штанах
*****

Профиль
Группа: Пользователи
Сообщений: 3127
Пользователь №: 79846
Регистрация: 5.08.2011 - 12:51
JB
интересный сериал, но я думаю ты не про это rolleyes.gif
PMПисьмо на e-mail пользователю
Top
« | Авто-Ярославль | »

Опции темы Страницы: (17) « Первая ... 15 16 [17]  Ответ в темуСоздание новой темыСоздание опроса

 



[ Время генерации скрипта: 0.0117 ]   [ Использовано запросов: 15 ]   [ GZIP включён ]



Яндекс.Метрика

Правила Ярпортала (включая политику обработки персональных данных)

Все вопросы: yaroslavl@bk.ru


Powered by Invision Power Board(U) v1.3 Final © 2003  IPS, Inc.