Предупреждаю всех! Сейчас гуляет опасный вирус в локальной сети Пущино и Серпухова, который имеет свою лазейку через RDP.
Шифруются все файлы на сервере и рядом кладется вот такой вот текстовый документ со следующим текстом:


Доброго времени суток!
Доносим до Вас не самую приятную новость, ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере были зашифрованы с помощью самых криптостойких алгоритмов.
Восстановить файлы можно только при помощи дешифратора и пароля, который, в свою очередь, знаем только мы.
Подобрать его невозможно. Переустановка ОС ничего не изменит.
Ни один системный администратор в мире не решит эту проблему не зная пароля.
Ни в коем случае не изменяйте файлы! А если решились, то сделайте резервные копии.
Напишите нам письмо на адрес decr03@mail.ru для получения дальнейших инструкций.
Среднее время ответа специалиста 1-5 часов.
Письма с угрозами ни к чему хорошему вас не приведут.
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!Следите за своей безопасностью, ограничивайте права пользователям, ставьте сложные пароли и заход только с одного-пары ip, а лучше и вовсе ограничьте доступ по rdp.

Писать этим пидорам не пытайтесь даже:

Delivery to the following recipient failed permanently:

decr03@mail.ru

Technical details of permanent failure:
Google tried to deliver your message, but it was rejected by the server for the recipient domain mail.ru (http://mail.ru) by mxs.mail.ru (http://mxs.mail.ru). [94.100.176.20].

The error that the other server returned was:
550 Message was not accepted -- invalid mailbox. Local mailbox decr03@mail.ru is unavailable: account is disabled

Кто как вылечился- отписываемся здесь.

Симптомы нужны. Да и КАК он попал(заразил)? Какие были действия в системе?
СВЯТ,так не разберёшься... Попробуй прогнать прогу Malwarebytes Anti-Malware в безопасном режиме.

У меня вчера 404 ошибку выдал, 100 лет не было уже.

Частичное решение найдено- есть дешифратор,восстановил базы 1С 8.2.

Взято из просторов...


"Как пострадавший от этого вируса и долго с ним возившийся, я сделал следующие выводы: Вирус, приходящий в письме - не шифрует. Он в течении 1-3 дней загружает шифровальщик, который шифрует файлы (они кстати лохи, самое важное уцелело). После шифрования самоуничтожается шифровальщик и возможно загрузчик. Думаю, что шифровальщик в течении определенного промежутка времени не меняется (у всех страдающих грузится один и тот-же). Время смены - возможно несколько дней, может быстрее. После того, как они меняют шифровальщик, касперский и все остальные антивиры бессильны - не узнаешь механизма и ключа шифровки. Правила я так понимаю простые - надо немедленно выключить пк, винт переставить на другую машину и попытаться найти в удаленных файлах (и восстановить) шифровальщик. Имея его - отправить касперским и все ОК. Пары файл шифрованный и нет бесполезны, только для проверки пойдут. Загрузчик сидит тихо, его тоже не заметишь по глюкам или еще по чему. В этом вся и подлость этой фигни - винлоки убираются за 5 минут, а эти приводят к абсолютному капцу информации, работают гады чисто и четко. Через неделю пираты перестают отвечать на письма (меняют ящик и домен ящика) - не заплатил - попал. Когда попадет человек повлиятельнее - их найдут и посадят, а пока - мы в пролете. Еще как вариант, решение - срочно на тестовой изолированной машине запускать файл (загрузчик) из письма, ждать начала шифрования и вытаскивать с диска и отправлять касперскому шифровальщик (он целый будет до конца шифрования, возможно в темпе). Промедление - попадете, как я (версия шифра сменится).

У меня тоже это было. Три дня назад вылечился, но у меня ничего особо ценного на этой машине нет, поэтому пох. Стоял бесплатный антивирь Комодо и ему наплевать было, что у меня в компе несколько червей завелось. В итоге загрузился с флешки, запустил Dr.Web CureIt, после чего поставил Каспера. Кстати, Каспер после Веба тоже вирус нашел.

Каспер и себя вирусом считает

Каспер тут безсилен.

Format c: и всё в порядке :) , много раз ловил на диске С:, но почем-то никада не ловился на второстепенных дисках,так что если тупо держать на С систему и подручные проги для интерфейса,не жалко и форматнуть :)

На других дисках вирусы тоже в файлы автозапуска часто прописываются.

Так вот откуда ноги у этой гадости растут - из локальной сети Пущино и Серпухова :)

Там шифрование файлов банальное по xor, в моём случае ключ был 6F9C67FDF5003563479486203195E9E2

Если надо могу поделиться самописным дешифратором (если сомнения в моей честности, то приложу исходники).

Так вот откуда ноги у этой гадости растут - из локальной сети Пущино и Серпухова :)

Пущинские разработки настолько суровы... :)

Выложьте свой дешифратор, у меня пара файлов нерасшифрованных осталось.

Выложьте свой дешифратор, у меня пара файлов нерасшифрованных осталось.
Свят, - этот казачок:trolo3: не засланый ли... проверить бы надо... :trolo7:
СБ (служба беспеки)

Вот он с исходниками на delphi.
Там использовались два компонента из сторонней библиотеки, она так же приложена, но при необходимости можно их заменить на обычные edit'ы.


Бездумно не пользовать, желательно сначала проверить на одиночном файле. Для предотвращения порчи файлов исходный файл не удаляется (придется позаботиться о наличии свободного места на диске). Находит и расшифровывает файлы только с расширением *.STOP.

А так все просто - всего пара кнопок.

Файл декодера на 2 сообщения ниже

да, и Ваша реально работает.

Вот дешифратор от доктора, 1С базы берет на ура.

Пояснение:

Признаки трояна: имеется файл C:\decrypting.txt содержащий email specialmist@gmail.com, расширение файлов не менялось. Если хоть один признак не совпадает - вам в другую тему.

По состоянию на 11:50 (MSK) 19.04.2013 состояние следующее:
Распространение началось в районе 15-16 часов по Москве 17.04.2013. Расшифровка возможна в автоматическом режиме!

Рекомендации:
Скачать на пораженную машину утилиту во вложении и запустить. Утилита создает КОПИИ файлов, соответственно у вас должно хватать места на дисках для них.

Если утилита не расшифровала файлы или расшифровала неправильно:
Пишите в свою заявку об этом. Если заявки нет - сообщите о проблеме в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ в категорию Запрос на лечение.


Что НЕ нужно делать:
- переустанавливать операционную систему;
- удалять или модифицировать C:\decrypting.txt
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web любые дешифраторы, кроме te215decrypt.exe
- В случае неудачной расшифровки при помощи te215decrypt.exe пытаться решить проблему без консультации с вирусным аналитиком Dr. Web

Блин, на форуме dr.web говорят, что нужно знать еще и длину зашифрованного участка, а моя программка декодирует до конца файлы :(.

Есть у кого-нибудь зашифрованный текстовый файл в несколько Мб? Log какой-нибудь. Или пара расшифрованный/зашифрованный файл, не обязательно текстовый? Не больше 4 мб.

Все, теперь всё готово. Вот вариант работающий для фалов более 2 мб.

Блин, на форуме dr.web говорят, что нужно знать еще и длину зашифрованного участка, а моя программка декодирует до конца файлы :(.

Есть у кого-нибудь зашифрованный текстовый файл в несколько Мб? Log какой-нибудь. Или пара расшифрованный/зашифрованный файл, не обязательно текстовый? Не больше 4 мб.

Все, теперь всё готово. Вот вариант работающий для фалов более 2 мб.

СУПЕР !!!, спасибо. реально помог, файлы бд sql расшифровались.
Ты крут друг :drinks:
Готов скинуться на пиво-водка, чай кофе, коньяк для хорошего человека :)

Сегодня вышел новый вирус, рассылают всем по почте с адреса: makovskij.svyatoslav@list.ru.

Текст письма следующий:

От кого: "Зaм Дирeкторa Юркoллегии В.A.Алексеев" <makovskij.svyatoslav@list.ru>
Кому:
Дата: Четверг, 1 августа 2013, 11:40 +04:00
Тема: ПOСТAНОВЛЕНИЕ СУДA

Сoгласнo пoстанoвлению суда, мы начинаем прoцeдуруjвзыскaния'дoлга
в cумме'195 417,33 рублeй. Дoлг' будeт взыскaн'путeм прoвeдения прeтензионной рaботы, зaключения мирoвoгоасoглашения, пoлучeния аИспoлнительногоалистa нa принудительнoеавзыскaние'долгa, списaния'чaстиасредств аc рaсчётных'счетов дoлжникa и пoлучeния остaткa долгаапутeм перeговоров.аБолeеаподрoбноасм. в'прикрeплённых'дoкумeнтах. ЗaмаДирeкторaаЮркoллeгииаВ.A.АлeксeевФайл во вложении Документы.rar

Не вздумайте открывать!!!!!!!!!!


При открытии шифруются все текстовые файлы на компьютере и меняется картинка на рабочем столе.


Салют буржуа!Наши быстроходные катера атаковали ваш файловоз.Ваш компьютер взят на абордаж командой нигерийских пиратов.
zubagugu@aol.com

[/URL][URL="http://nash-forum.itaec.ru/gallery/displayimage.php?imageid=35689"]http://nash-forum.itaec.ru/gallery/displayimage.php?imageid=35689 (http://nash-forum.itaec.ru/gallery/displayimage.php?imageid=35689)


Кто как лечился- пишите здесь.

Примеры зашифрованных файлов - во вложении

Нашел ключ и алгоритм, скоро будет готовый дешифровщик, если есть пара - зашифрованный/исходный файл или еще примеры защифрованных файлов большего размера - выкладывайте.

Всё, готово. Все тоже самое но модифицированное для именно этого варианта. Ищет файлы только с расширением *.ZUBAGUGU@AOL.COM_S1. Зашифрованные файлы не затирает. Работает для всех размеров файлов (длина зашифрованного куска всего 16320 байт). Пользуйтесь.

+ расшифрованные файлы из запроса.


P.S. можно мне получить тело вируса, на анализ?

Все изображение тоже за блокировались.

Все изображение тоже за блокировались.

*.jpg - сжатый формат, тут на глаз определить гораздо сложнее, найдите файлы в закодированном и не закодированном варианте.

Всё, готово. Все тоже самое но модифицированное для именно этого варианта. Ищет файлы только с расширением *.ZUBAGUGU@AOL.COM_S1. Зашифрованные файлы не затирает. Работает для всех размеров файлов (длина зашифрованного куска всего 16320 байт). Пользуйтесь.

+ расшифрованные файлы из запроса.


P.S. можно мне получить тело вируса, на анализ?

Привет!
Всё хорошо, но раскодирует только по одному файлу :(
А их куууууча :))

Привет!
Всё хорошо, но раскодирует только по одному файлу :(
А их куууууча :))

Был такой косяк.
Вот исправленныйю

Был такой косяк.
Вот исправленныйю

Да, теперь всё супер :)
пару файлов Excel только не раскодировал и несколько фоток.
т.е. как бы раскодировал, но файл оказался повреждённым.
Но учитывая общее количество файлов - это капля в море.
Ещё раз спасибо :)

p.s. учил же своих дам не вестись на всякие 'левые письма', а воз и ныне там :)

Декодер для фалов, чьё расширение оканчивается на s3. - "AOL.COM_S3"

Для одтночных файлов можно использовать и предыдущий декодер, нужно только поменять ключ на: 4A554A4854493F878056404286898154835180865641874581 4C4D5580898746544F8581504A514F545081518082504F5486 4D40415650574E4E40475580495546844644414253534A5049 4E584E50484F4156508153488953423F3F4F51554D

В предыдущих версиях декодера была найдена ошибка - ошибка исправлена, файлы обновлены. Товарищ "DemonTM" и другие кто уже воспользовался пожалуйста перераскодируйте файлы новой версией декодера, во избежание

P.S. можно мне получить тело вируса, на анализ?

Спасибо за дешифратор. Завтра опробую на зараженной машине.

Тело вируса могу выслать, даже не вопрос, пишите мне в личку ваше мыло, завтра сделаю пересылку.

Доброго времени чегототам.
Великие дешифраторы зашифрованного не могли бы подобрать ключ ещё и для .ZUBAGUGU@AOL.COM_A4 ?

Доброго времени чегототам.
Великие дешифраторы зашифрованного не могли бы подобрать ключ ещё и для .ZUBAGUGU@AOL.COM_A4 ?

Ну так выложите примеры зашифрованных файлов, желательно с копией в незашифрованном виде. Желательно *.doc, *.xls или *.txt.

Добрый день!
А у меня расширение заканчивается на A3.
Помогите с раскодировкой плиз.

День добрый! Но явно не для нас.
Сработал A4 выручайте!!! :swat3:

День добрый! Но явно не для нас.
Сработал A4 выручайте!!! :swat3:

Забирайте вариант А4

Декодер для фалов, чьё расширение оканчивается на s3. - "AOL.COM_S3"

Для одтночных файлов можно использовать и предыдущий декодер, нужно только поменять ключ на: 4A554A4854493F878056404286898154835180865641874581 4C4D5580898746544F8581504A514F545081518082504F5486 4D40415650574E4E40475580495546844644414253534A5049 4E584E50484F4156508153488953423F3F4F51554D

:swat3::swat3::swat3:

Всем доброго времени суток.
У меня сработал ZUBAGUGU@AOL.COM_S3.
С вашим декодером расшифровал большинство файлов, но часть все равно закодирована. Посмотрите пожалуйста файл во вложении - может сможете код подобрать.

Забирайте вариант А4
Для А3 нет варианта?

Для S3 уже есть решение, ищите выше.

Для А3 нет варианта?

Для A3 мне пока еще никто не предоставил достаточно информации. Если у вас есть пара закодированный/исходный файл или хотя бы xls файл, то выкладывайте.

Для S3 уже есть решение, ищите выше.

С вашим декодером расшифровал большинство файлов, но часть все равно закодирована. Декодер пишет "Неудача!".
Посмотрите пожалуйста файл во вложении (он из "неудачных"). Может сможете код подобрать.
Ссылка на файл (http://nash-forum.itaec.ru/attachment.php?attachmentid=99814&d=1375433333)

С вашим декодером расшифровал большинство файлов, но часть все равно закодирована. Декодер пишет "Неудача!".
Посмотрите пожалуйста файл во вложении (он из "неудачных"). Может сможете код подобрать.
Ссылка на файл (http://nash-forum.itaec.ru/attachment.php?attachmentid=99814&d=1375433333)

Это шутка такая? У вас во вложении не закодированный файл, просто изменено расширение.

А "неудача" от того, что файл имеет атрибут "только для чтения".

Вот такие файлы есть.

Передаю Fireleo пламенную благодарность всех своих бестолковый друзей!)

Забирайте вариант А4

Fireleo, достойное дело делаете!

Словили a4, дешифрует неправильно. Сможет помочь, если пришлю шифрованный xls?

Это шутка такая? У вас во вложении не закодированный файл, просто изменено расширение.

А "неудача" от того, что файл имеет атрибут "только для чтения".

Прошу прощения. Шутить вовсе не собирался.
Большое Вам спасибо!

Присылайте.


Файлы A3 и А4, пока не расшифровываются. Для каждого файла свои параметры шифрования, пока не могу разобраться. Нужно больше примеров. Если есть еще присылайте зашифрованные xls,doc,pdf файлы. В идеале если к ним будет прилагаться не зашифрованная копия.

Xls/doc(-x)

Добрый день!
Огромное спасибо за помощь! У нас одна подруга смогла этим вирусом похерить год работы. Восстановить удалось около 70 %. Но часть файлов эксель и пдф не восстановилась - размер 0 кб. Что это можеть быть и есть ли возможность всетаки восстановить эти файлы?

На что оканчивается расширение зашифрованного файла? Попробуйте скачать дешифровшик еще раз, я его периодически обновляю. Если ошибка сохраняется, пришлите мне те файлы, что не удается раскодировать.

На что оканчивается расширение зашифрованного файла? Попробуйте скачать дешифровшик еще раз, я его периодически обновляю. Если ошибка сохраняется, пришлите мне те файлы, что не удается раскодировать.

Файлы заканчиаваются xlsx, а зашифрованные на s1
дешифратор скачивал в 14-00.
Куда можно прислать файл для пробы?

Да сюда и выкладывайте.

Добрый день, помогите с AFRICA@TOKE.COM_712
Пару зашифрованный/нормальный файл прикрепил.

Помогите расшифровать!
Расширение (.barbitariat)

Файлы прикрепить не могу(видимо из-за того, что новичок на форуме), выложу на дропбокс https://www.dropbox.com/sh/ykz5vwscl2t4zeb/u-fC_-nEcG
Там 2 фотки(оригинал и шифр) и 2 документа док

Почему-то у вас один файл это действительно шифрованный doc, а второй это PDF с расширением doc. Плюс отличаются их размеры. Ну а размеры якобы оригинала и шифрованной картинки разнятся особо значительно.

Добрый вечер! возможно перепутал файлы, было непросто найти пару! Есть ещё пара изображений, там размер почти одинаковый
99853

Fireleo огромное спасибо!!!!
Про полное восстановление всего говорить пока рано, но то что декодировщик работает уже
огромная удача.

Добрый вечер! возможно перепутал файлы, было непросто найти пару! Есть ещё пара изображений, там размер почти одинаковый
99853

В общем готово, но от вас еще потребуется какой-нибудь зашифрованный файл, размером в мегабайта 2. Не могу найти длину шифрованного куска, ваш файл достаточно маленький и зашифрован полностью.

Возможно у вас на ПК есть KLADR (используется в 1С 7.7), тогда там вы сможете найти закодированный dbf, а запустив kladr.exe получите оригинальный.

Файл здесь:
http://nash-forum.itaec.ru/showpost.php?p=183993&postcount=98 (http://nash-forum.itaec.ru/showpost.php?p=183993&postcount=98)

Просьба к пострадавшим, если остался вредоносный исполнимый файл из "Документ.rar" (он может быть в папке "загрузка", или остаться в списке писем на почтовом ящике), отошлите его антивирусным компаниям, используя ссылки

https://vms.drweb.com/sendvirus/?lng=ru
http://support.kaspersky.ru/virlab/helpdesk.html

Этим Вы ускорите время выпуска "лечения".




Вымогатели отписались,

"
Здравствуйте, дорогие советские друзья! Для разблокировки и получения дешифратора, Вам необходимо
пожертвовать детям Африки 7000 рублей при помощи платёжной системы Яндекс Деньги.
Для проверки, Вы можете прислать нам зашифрованный файл, мы дешифруем и вышлем Ваш файл в исходном состоянии.

Оплата производится ТОЛЬКО через терминалы оплаты (Евросеть и т.д) или онлайн банкинг(перевод с кошелька на кошелёк не примем).Платежная система Яндекс деньги, номер кошелька 410011675838068. После оплаты,отправьте письмо с текстом" оплата произведена".В ответном письме получите дешифратор и инструкцию.
Обращаем Ваше внимание, в случае блокировки Вами кошелька, получения пароля станет возможным после оплаты по другим реквизитам.
"


Пишите Яндекс Деньгам жалобу, если таких жалоб наберется много, кошельки будут блокировать.

https://money.yandex.ru/feedback/?themeTitle=deception


(присоедините файл-скриншот; нужно написать вымогателям, получить ответ, сделать снимок экрана клавишей PrintScreen, в Paint'е вставить и сохранить как картинку)

http://s2.ipicture.ru/uploads/20130803/lKc1ojfx.png


Пусть школьники другие способы заработка себе ищут.

Спасибо большое за помощь!
У меня, к сожалению, A3 - высылаю оригинальный файл и зашифрованный.
Буду очень благодарен, если удастся сделать дешифратор и для этого типа.

Доброго времени суток!

Вот ссылка на архив с вирусом A4, зашифрованными файлами и с нормальными файлами из теневой копии. Может поможет.

http://files.mail.ru/877139CC18B748669A12EECBBE9AB4AA

Fireleo молодцы !!!!, спасибо !!!!, S3 декодировалось, если нужны пары, на виртуалке создам разные.
mboaue@yahoo.com_F9 не встречался?

mboaue@yahoo.com_F9 не встречался?

Нет еще.


S3 декодировалось, если нужны пары, на виртуалке создам разные. Если декодер работает, то пары мне больше не нужны. Если вдруг найдете файлы, что не удается расшифровать присылайте, доработаю декодер.

прошу всех пострадавших от *.ZUBAGUGU@AOL.COM_A3 проверить этот декодер.

По моим догадкам, он должен работать только для PDF, а если сменить ключ на 7F8C7C8089807D8A936CA2AD79829D7174C47FB58895959074 C17C7FC5766DBAB1BE7BBB7FAF9486AD7C7AB17E9198BE7B7C 80C2797E8B7D8B8783697C78797777, то только для DOCXфайлов.

Так жк те кто скачал вариант для А4 прошу вас обрать внимание какие именно он файлы смог расшифровать, если это файлы одно формата или есть какая-то иная закономерность - сообщите мне. Это ускорит работу как по А3, так и по А4.

День добрый! Но явно не для нас.
Сработал A4 выручайте!!! :swat3:

Скажите, а вы может объяснить почему имя автора этого фала "Fireleo-4"?

Спасибо за декодер на А3, на doc и PDF работает)
Так же частично работает на JPG формат, то есть раскодирует но не полностью высылаю архив с зашифрованным и частично расшифрованным изображением, надеюсь на вашу помощь

Менеджеры словили ZUBAGUGU@AOL.COM_S3, расшифровал при помощи вашей утилиты. Огромнейшее спасибо !

К сожалению, декодер на А3 - не помог :(
Чем могу поспособствовать доработке ?

К сожалению, декодер на А3 - не помог :(
Чем могу поспособствовать доработке ?
Финансовая помощь автору дешифратора, я думаю, будет отменным подспорьем к дальнейшим разработкам. :)

К сожалению, декодер на А3 - не помог :(
Чем могу поспособствовать доработке ?

аналогично... не помогло

прошу всех пострадавших от *.ZUBAGUGU@AOL.COM_A3 проверить этот декодер.

По моим догадкам, он должен работать только для PDF, а если сменить ключ на , то только для DOCXфайлов.

Так жк те кто скачал вариант для А4 прошу вас обрать внимание какие именно он файлы смог расшифровать, если это файлы одно формата или есть какая-то иная закономерность - сообщите мне. Это ускорит работу как по А3, так и по А4.

проверял на doc xml и docx
не один формат не расшифровался. у меня а3

Во вложении зашифрованная и оригинал презентации pptx
Размер 3.21 мб
Вирус Судебное дело.exe
переименовал файлы ZUBAGUGU@AOL.COM_A3

В общем готово, но от вас еще потребуется какой-нибудь зашифрованный файл, размером в мегабайта 2. Не могу найти длину шифрованного куска, ваш файл достаточно маленький и зашифрован полностью.

Возможно у вас на ПК есть KLADR (используется в 1С 7.7), тогда там вы сможете найти закодированный dbf, а запустив kladr.exe получите оригинальный.

Декодер выдает неудачу ...
Могу прислать файлики благо есть...

А вариант когда декодер файлов *.barbitariat (архивы rar, zip) как бы ошибок не выдает, но в архиве получаются ошибки при тестировании расшифрованного файла - (по 1 файлу на архив, но все таки) встречался ?

Благодарю за помощь! Декодер barbitariat сработал на rаr архивах, но файлы, разархивированные не читается. На других файлах не сработал - пишет ошибка
Нашёл пару больше 2х мб - https://www.dropbox.com/sh/ykz5vwscl2t4zeb/u-fC_-nEc

Скажите, а вы может объяснить почему имя автора этого фала "Fireleo-4"?

В толк не возьму о чём речь, автор того файла, который я прислал?

Можно выложить то, что не отрабатывается из А4?
Что-то не поймём по какому принципу не декодируются некоторые файлы. :(

Могу прислать файлики благо есть...
А вариант когда декодер файлов *.barbitariat (архивы rar, zip) как бы ошибок не выдает, но в архиве получаются ошибки при тестировании расшифрованного файла - (по 1 файлу на архив, но все таки) встречался ?

Уже несколько раз писал - присылайте те файлы, что не удалось расшифровать.

P.S. Если выдает "неудача", то проверьте, не стоит ли у файла атрибут "только для чтения", нет ли ограничения на доступ к каталогу, где этот файл лежит. Для верности скопируйте файл в корень диска и попробуйте его расшифровать в одиночном режиме.

"Неудача", это в основном ошибка доступа к фалу, а не самого расшифровывания.

Да сюда и выкладывайте.
Скаал более позднюю версию - все получилось! СПАСИБО!!!

На расшифровку изображений можно надеяться?)

Прислал файлы, которые не смог расшифровать. И это файлы, которые не присылал ранее. Проверял файлы, доступ открыт, пишет неудача почти на все файлы. Попробую папку дешифровать, посмотрю какие форматы не нравятся
Размер проверил - сходится

Прислал файлы, которые не смог расшифровать. И это файлы, которые не присылал ранее.
Размер проверил - сходится

Прислали, а куда?

Нашёл пару больше 2х мб - https://www.dropbox.com/sh/ykz5vwscl2t4zeb/u-fC_-nEcСсылка не открывается.

c barbitariat разобрался самостоятельно. писать ничего не надо, есть готовая тулза... интересно?

Проверил с папкой - всё ок! Сейчас попробую запульнуть туда файлы, больше 2 мб.
Но кажется он открывает все)

Проверил с папкой - всё ок! Сейчас попробую запульнуть туда файлы, больше 2 мб.
Но кажется он открывает все)

Пришлите мне те файлы, что больше 2мб. Я доделаю декодер, в нынешнем виде он нормально работать не будет, разве что для файлов менее 1мб.

Выложил на файл.мэйлы http://files.mail.ru/18EF4C006C564CC180D6BF1BBF2C0044
Да, он работает на большинство файлов, но не все. Архивы с одним файлом не читаются и 1с'кины файлы не читаются

c barbitariat разобрался самостоятельно. писать ничего не надо, есть готовая тулза... интересно?

Конечно любой вариант интересует.

P.S.> А способы проникновения этого "гада" на компьютеры (кроме файлов *.exe в письмах) известны ?
Не пойму никак откуда он мог ко мне попасть, так как я файлов исполнимых из поты точно не запускал

c barbitariat разобрался самостоятельно. писать ничего не надо, есть готовая тулза... интересно?
Конечно интересно!

Уже несколько раз писал - присылайте те файлы, что не удалось расшифровать.

К сожалению, парного целого файла нет.

Сегодня обнаружил в интернете сообщение о barbitariat, человек писал на http://virusinfo.info/
Говорит что заразился 3.08.13 числа. Мой компьютер заразился 2.08.13
Кажется их деятельностью начала разворачиваться)

Конечно интересно!

Гуглим по кейвордам

Trojan.Encoder.94
Te94decrypt.exe

Сегодня обнаружил в интернете сообщение о barbitariat, человек писал на http://virusinfo.info/
Говорит что заразился 3.08.13 числа. Мой компьютер заразился 2.08.13
Кажется их деятельностью начала разворачиваться)

Посмотри на форуме drweb - там вся перва страница посвящена вопросам как раз таких шифровальщиков. Где-то с 20.07 уже порядка 5-6 разновидностей в каждой по 5-6 вариантов вышло. Но декодер не официальным пользователям не дают, а из официальных пока никто не поделился.

Тут злоумышленники могут рассчитывать только на массовость и на частую смену версий и явок.

Посмотри на форуме drweb - там вся перва страница посвящена вопросам как раз таких шифровальщиков. Где-то с 20.07 уже порядка 5-6 разновидностей в каждой по 5-6 вариантов вышло. Но декодер не официальным пользователям не дают, а из официальных пока никто не поделился.

Тут злоумышленники могут рассчитывать только на массовость и на частую смену версий и явок.

Пост Мой внимательно прочитали? Декодер есть и я даже название файла дал...

P.S.> А способы проникновения этого "гада" на компьютеры (кроме файлов *.exe в письмах) известны ?
Не пойму никак откуда он мог ко мне попасть, так как я файлов исполнимых из поты точно не запускал[/QUOTE]

Я тоже немного не понимаю как он появился. У меня и писем не было со вложениями. Полагаю есть другой способ его распространения.

Способов распространения тоже пока не нашел. Зашифрованные файлы все на файловом сервере, 3 клиента всего. компы чистые проверял сегодняшним CVRT. На серваке пока не закончилась проверка...

Мне програ не помогла, так как нету файла с ключом.
Его изначально и не было, что меня удивило..

Ребят помогите...IMG_1956.JPG.banan@blader.com_IQ49... вот пример зараженного рисунка.. может кто смодет помоч ?

Выложил на файл.мэйлы http://files.mail.ru/18EF4C006C564CC180D6BF1BBF2C0044
Да, он работает на большинство файлов, но не все. Архивы с одним файлом не читаются и 1с'кины файлы не читаются

Забирайте, как минимум для вашего случая, должен работать.

Файл здесь (http://nash-forum.itaec.ru/showpost.php?p=184053&postcount=116)

Мне програ не помогла, так как нету файла с ключом.
Его изначально и не было, что меня удивило..

Какая?

Какая?

Вы бы лучше рассказали людям, с какими параметрами запускать декриптор от Dr.Web'а. Т.к. иначе он ругается на отсутствие ключа.

Вы бы лучше рассказали людям, с какими параметрами запускать декриптор от Dr.Web'а. Т.к. иначе он ругается на отсутствие ключа.

Te94decrypt.exe. Для дешифровки файлов от Trojan.Cncoder94/99 сперва необходимо
подобрать подходящий ключ расшифровки. Для подбора ключа необходимо сделать
следующее:
1. Скопируйте дешифровщик te94decrypt.exe в корневую папку диска C: и запустите его
через меню Пуск –> Выполнить. В строке запуска введите без кавычек: "C:\te94decrypt.exe
любой_файл". Утилита автоматически расшифрует файл по всем возможным вариантам
декодирования.
2. Будет создано несколько (иногда более 10) копий расшифрованного файла, название
каждой из которых будет оканчиваться набором символов "-kN", где N — некоторое число.
Например, один из вариантов расшифрованного файла может называться archive.rar-k201.
Число 201 — один из вариантов ключа.
3. Откройте поочередно все расшифрованные файлы и найдите тот, который расшифрован
правильно. Обратите внимания, какой ключ соответствует верному декодированию.
4. Запустите утилиту дешифровки Пуск, вместо имени файла указав подобранный ключ
(например: C:\te94decrypt.exe –k 201).

Снова трублю о помощи по поводу фотографий)
Расшифровалось все кроме них(
В очередной раз высылаю архив с зашифрованный, исходным и не полностью расшифрованный изображением.
Буду очень благодарен.

Благодарю за помощь в дешифровании .barbitariat!!!

Часть файлов удалось восстановить благодаря явашему декодеру А4, за что Вам огромное спасибо.
Но есть файлы из тго же каталога и их достаточно много (атрибуты удаляли) которые раскодировке не поддаются, (неудача, имя есть а длина -0)

Внимание! Работающий декритор от доктора Веба для ZUBAGUGU@AOL.COM_A3 а также AFRICA@TOKE.COM_xxx, *.ZUBAGUGU@AOL.COM_xxx
Инструкция по использованию(читаем очень внимательно)
http://forum.drweb.com/index.php?showtopic=314769

Часть файлов удалось восстановить благодаря явашему декодеру А4, за что Вам огромное спасибо.
Но есть файлы из тго же каталога и их достаточно много (атрибуты удаляли) которые раскодировке не поддаются, (неудача, имя есть а длина -0)


У меня они расшифровались, быть может проблема в пути к файлу, попробуйте скопировать в папку вроде "C:\1111\" или подобное.

Te94decrypt.exe. Для дешифровки файлов от Trojan.Cncoder94/99
У меня на тестовом архиве (avz4.zip.barbitariat) создал 87 вариантов расшифрованных файлов, но ни один из них не оказался корректным. Проверял с помощью WinRar - тестирование архива.

"decoder - barbitariat.exe" тоже эти архивы расшифровывает с ошибкой.
Есть еще "barbitariat recovery utilitty by Fezoo" - этот архивы расшифровывает корректно. на "проблемных" PDF пока проверить не успел.

Проблемный архив, который дешифруется с ошибкой с помощью "decoder - barbitariat.exe" прикладываю (в качестве примера архив программы avz версии 4.37 оригинал возможно наверное найти и на оф.сайте AVZ ,если там есть архивы старых версий, для проверки корректности расшифровки).
в архиве:
avz4.zip.barbitariat - зашифрованный файл
"barbitariat recovery utilitty by Fezoo" - файл с текстом вымогательства
avz4.zip - расшифрованный архив с помощью утилиты "barbitariat recovery utilitty by Fezoo"

P.S.> интернета дома пока еще нету, а файлики проблемных pdf забыл (точнее перепутал и взял не корректно расшифрованные вместо оригинальных) - так что пока их проверить не могу.

Во первых спасибо Вам за утилиту - она была первая и наверное пока еще остается единственной , которую можно скачать в открутом доступе и проверить.

У меня они расшифровались, быть может проблема в пути к файлу, попробуйте скопировать в папку вроде "C:\1111\" или подобное.
Ваша программа не всегда корректно обрабатывает файлы с пробелами в названии файла.
Типа сохраненная интернет-страничка в формат mht.
Если переименовать в имя без пробелов - то расшифровывает нормально, а на именах с пробелом выдает ошибку.
Примеры имен фалов смогу вечером из дома сказать.

P.S.> Еще Ваша утилита не отпускает файлы пока не закроешь программу, поэтому не возможно сразу после расшифровки удалить эти файлы из тестового каталога. Надо закрывать программу и только потом можно их удалить.

Файлы с "проблемным" архивом я выложил в предыдущем сообщении. pdf смогу только вечером дома проверить и если там тоже выявятся "проблемы" - скажу

Можно еще пожелания высказать ?
1)Когда идет обработка списка не маленьких файлов - программа "зависает" и не понятно работает или нет. Можно добавить какую-то визуализацию процесса работы и возможность прервать обработку, если случайно не тот каталог выбрал.
2) Если в каталоге с расшифровываемым фалом уже есть программа с оригинальным именем - то утилита ее просто перезаписывает без запросов и предупреждений. Наверное это может в каких-то случаях не очень хорошо сработать и затереть что-то "лишнее", не нужное удалять в данном случае

"decoder - barbitariat.exe" тоже эти архивы расшифровывает с ошибкой.


Я не могу понять, почему, но не смотря что файлы совпадают до байта (как говорит WinHex), расшифрованый выдает ошибку. И контрольные суммы у них разные.Проблема в изменении даты последней модификации - меняется контрольная сумма архива.


Вообще спасибо, конечно за тестирование и предложения. Когда я в следующий раз возьмусь за доработку, то думаю перезалью все варианты с исправлениями, а пока, надеюсь будет достаточно ваших объяснений.

P.S. Программа не виснет, просто она отвечает на внешние запросы, только между обработкой файлов, если файл большой, то и кажется, что она зависла.

Проблема в изменении даты последней модификации - меняется контрольная сумма архива..

Вот что у меня дает сравнение двух расшифрованных архивов:
сравнении архива расшифрованного с помощью "barbitariat recovery utilitty by Fezoo" (первый столбик) и второго столбика (расшифрованный с помощью "decoder - barbitariat.exe" от Fireleo)
Сравнение файлов avz4.zip и D:\DOWNLOADS\0\2\AVZ4\4.37\AVZ4.ZIP
00157245: BB F8
00157246: 5A B2
00157247: 38 5B
00157248: 71 23
00157249: 68 A4
0015724A: AD FB
0015724B: D2 5C
0015724C: 26 08
0015724D: 28 87
0015724E: 09 1B
0015724F: EC B2
00157250: 54 32
00157251: 34 EF
00157252: 75 54
00157253: 10 BA
00157254: A4 02
00157255: 20 63
00157256: 99 71
00157257: 51 32
00157258: AC FE
00157259: 2D E1
0015725A: 5B 0D
0015725B: CA 44
0015725C: 36 18
0015725D: BB 14
0015725E: CC DE
0015725F: B4 EA
00157260: 51 37
00157261: 7D A6
00157262: 24 05
00157263: C4 6E
00157264: 70 D6



При тестировании архива расшифрованного с помощью "barbitariat recovery utilitty by Fezoo" WinRar ошибок не находит
А при тестировании архива расшифрованного с помощью "decoder - barbitariat.exe" от Fireleo WinRar выдает:
! D:\Downloads\0\2\avz4\4.37\avz4.zip: Ошибка CRC в avz4\avz_ru.chm, файл повреждён


Проверяю на архивах - так как через тестирвоание можно найти мелкие ошибки которые в txt, doc, jpg , mp3 - на глаз можно не заметить.
Дома есть pdf которые после расшифровки утилитой "decoder - barbitariat.exe" от Fireleo становятся "кривыми".
Пример такого результата прикладываю. (расшифрованный pdf с ошибкой я взял на работу вместо зашифрованного файла). Посмотрите на окончание страницы 7 - там сбой, которого в оригинальном файле не было. Декодер (Fireleo) на этот файл говорит что расшифровано Успешно.

P.S. Программа не виснет, просто она отвечает на внешние запросы, только между обработкой файлов, если файл большой, то и кажется, что она зависла.
Я то это понимаю. Но "неопытных" может напугать ;-)

Вот что у меня дает сравнение двух расшифрованных архивов:Ага, верно это я ступил, сравнивал не весь файл, а только сколько-там первых байт. (то-то я сообразить не мог, как так файлы одинаковы, а контрольная сумма разная, аж всякие глупости выдумывать начал.)

И в декодере накосячил, перезалью через пару минут свой. Архив тест проходит.

Мне помог дешифратор, barbitariat - побеждён!
Огромная благодарность всем, кто помогал, особенно Fireleo!

И в декодере накосячил, перезалью через пару минут свой. Архив тест проходит.
Замечательно, что разобрались. Жду новую версию.
Вечером еще дома на pdf "проблемных" проверю.

Лучше щас перебдеть, чем потом через некоторое время обнаружить что файлы которые казались корректными на самом деле с "брачком" и не извлекаются из архивов или как в pdf - страницы запорчены.

Мне помог дешифратор, barbitariat - побеждён!

Повнимательней проверяйте файлы. В дешифраторе была ошибочка, при которой некоторые файлы расшифровывались не совсем корректно.

Повнимательней проверяйте файлы. В дешифраторе была ошибочка, при которой некоторые файлы расшифровывались не совсем корректно.
Кстати, да, последнюю исправленную версию, еще никто не скачал.

В предыдущей была ошибка!

Новая версия:

Кстати, да, последнюю исправленную версию, еще никто не скачал.

В предыдущей была ошибка!

А где новая версия ? Лучше в новом сообщении разместить что бы народ не путался старая-новая.

В последней версии архивы корректно обрабатываются. Так что кто пользовался старой версией - Вам надо заново обработать свои файлы

Добрый день!!!

Народ помогайте на компе в офисе завелся злой вирус!! картинка с текстом и пираты с калашами!! только вот файлы он зашифровал вот таким образом : мармелад.pdf.zero@dbzmail.com_IQ83

Добрый день!!!

Народ помогайте на компе в офисе завелся злой вирус!! картинка с текстом и пираты с калашами!! только вот файлы он зашифровал вот таким образом : мармелад.pdf.zero@dbzmail.com_IQ83

А файлы ваши , вы предлагаете расшифровывать удаленно по фотографии? Так ведь даже её нет.

Выложите несколько зашифрованных файлов, разных форматов и размеров. В идеале - пары зашифрованный файл и оригинальный.

Добрый день!

Спасибо Вам за утилиту.

Подхватил модификацию такого же вируса, только файлам присваивает дополнительное расширение .banan@blader.com_xxx, где xxx - цифры-буквы.

Прошу сделать модификацию Вашего декодера для этого варианта.

Примеры зашифрованных файлов прилагаю.

Спасибо большое за проявленный интерес!! Сей час выложу копии файлов.100068 zero@dbzmail.com_IQ83

Добрый день!

Спасибо Вам за утилиту.

Подхватил модификацию такого же вируса, только файлам присваивает дополнительное расширение .banan@blader.com_xxx, где xxx - цифры-буквы.

Прошу сделать модификацию Вашего декодера для этого варианта.

Примеры зашифрованных файлов прилагаю.

Похоже, что зашифрованных только первые 48 байт, пришлите еще варианты зашифрованных файлов формата doc. И если есть пара зашифрованный/оригинальный файл, то же пришлите, не зависимо от формата файла.

Спасибо большое за помощь!

Варианты файлов прилагаю.

Такой же вид вируса как и у ArcherV - banan@blader.com )) Сколтко ищу дешифратора не неашел))

Здравствуйте! Нужна Ваша помощь! Вид: zero@dbzmail.com_IQ71 (http://www.sendspace.com/file/bd2vby) (кликабельно) Заранее спасибо!

P.S.: после расшифровки файлов, нужны ли еще какие-либо меря для удаления вируса? Если да, то как от него избавиться полностью??

Здрасте! Словил такой же вирус... зашифровал все файлы на компе. расширение zero@dbzmail.com_IQ84
Помогите!!!! Пожалуйста! (((( Много фоток потерял(((

Привет ! :preved: Друзья проблема все та же помогите мне расшифровать файлы zero@dbzmail com_IQ85

Похоже, что зашифрованных только первые 48 байт, пришлите еще варианты зашифрованных файлов формата doc. И если есть пара зашифрованный/оригинальный файл, то же пришлите, не зависимо от формата файла.

Проверяй лучше на шифрованных архивах - там хоть проверить по внутриахивной проверке можно. А на doc-файлах не заметишь если опять где-то проблема расшифровки будет.

кстати, появилось время я поискал методы как мог бы ко мне вирус попасть.
До этого у меня 2 дня не было интернета из-за проблем у провайдера.
В файрволе закрыл для svchost входящий запрос на RDP порт (точнее не закрыл а поставил в режим запроса действия).
И вот через не продолжительное время работы компьютера при появлении интернета стали выскакивать запросы на разрешение входящего соединения по rdp протоколу.
Ну а так как не жду никого кто бы мог ко мне таким образом подключиться - то я их разумеется не разрешал.
По одному из ip попробовал подключиться так же удаленно - увидел окно логина на китайский win2003 сервер.
Так что скорей всего предположение что заражение происходит через зараженные удаленные сервера с использованием уязвимости в RDP
По одному адресу я

Проверяй лучше на шифрованных архивах - там хоть проверить по внутриахивной проверке можно. А на doc-файлах не заметишь если опять где-то проблема расшифровки будет.

Сообразил уже, но проверять пока нечего. Там файлы частично даже не зашифрованы, а затерты значением #13. В конце добавляется 1046 байт из которых 1000 - это, по всей видимости, 5 блоков по 100 байт записанных в виде ASCII-представлении (два байта обозначают один). И еще 46 в виде пяти групп по 8 байт, которые по все видимости содержат ключ как восстановить инфу. Но пока мене из них понятны лишь начало новой группы и указание на смешение с которого начинается очередной закодированный участок.

По этому, я еще не могу сообразить как получить исходные данные.

Fireleo, если поможет найти ключ, прикладываю варианты файлов в архивах.

zero@dbzmail com_IQ85
У меня видимо совсем безнадежный случай.....:trolo2:
ребята посмотрите пожалуйста мои файлы мож у кого получится????

Еще одно сообщение по *.barbitariat и можно будет по тому типу закрывать вопрос:
Если пользоваться утилитой te94decrypt.exe от drWeb. то:
Запускать её в нашем случае нужно с параметром комстроки -k 369 , т.е. так:
te94decrypt.exe -k 369

Файл te94decrypt.exe найденный мной поиском в гугле на анализе файла выдавал всего 87 вариантов.
А текущий более свежий выдал на 369 варианте - что нашел верный алгоритм.
Так что если искать файлы в сети - то надо искать наиболее ссвежие

zero@dbzmail com_IQ85
У меня видимо совсем безнадежный случай.....:trolo2:
ребята посмотрите пожалуйста мои файлы мож у кого получится????

А сам файл вируса поймать не получилось ?

У меня .banan@blader.com_IQ41
Вирус как-то странно прошелся по файлам, какие-то зашифровал и к имени файла добавил свою приписку .banan@blader.com_IQ41, а какие-то файлы просто переименовал, убираешь из имени эту приписку и файл нормально открывается..
В зашифрованных файлах похоже первые 50 символов (байт) изменены, возможно что в середене файла тоже, не могу точно сказать.
Длина файла не меняется.
Первый байт ( символ ) в зашифрованных вроде бы у всех один и тот же - 13 (HEX)

А файлы ваши , вы предлагаете расшифровывать удаленно по фотографии? Так ведь даже её нет.

Выложите несколько зашифрованных файлов, разных форматов и размеров. В идеале - пары зашифрованный файл и оригинальный.

Ребят выручите пожалуйста... не охота платить гадам.. я приложил файлы выше в посте...
Может получется дешифровать мои файлы?

У меня .banan@blader.com_IQ41
Вирус как-то странно прошелся по файлам, какие-то зашифровал и к имени файла добавил свою приписку .banan@blader.com_IQ41, а какие-то файлы просто переименовал, убираешь из имени эту приписку и файл нормально открывается..
В зашифрованных файлах похоже первые 50 символов (байт) изменены, возможно что в середене файла тоже, не могу точно сказать.
Длина файла не меняется.
Первый байт ( символ ) в зашифрованных вроде бы у всех один и тот же - 13 (HEX)

Еще на смещении 1024, 2048, 3072 и 4096 байт по 15 байт заменены на 13 (HEX). Если у вас не изменился размер файла, то я даже не предполагаю как эти данные восстановить.

Вот информация от drWeb по этому трояну:
Признаки заражения: Файлы зашифрованы, дополнительное расширение *.zero@dbzmail.com_xxx, где xxx - цифры-бувы. Если расширение отличается - вам в другую тему.

Информация по трояну: Отсутствует на данный момент.

Криптография: Точно неизвестно, но вероятно RSA.

Расшифровка: В связи с отсутствием трояна ничего определенного сказать нельзя.


Если там действительно RSA то без тела вируса вряд ли что можно сделать.
Ищите у себя в карантине антивируса или во временных каталогах или еще где сам файл который гадит.

Еще на смещении 1024, 2048, 3072 и 4096 байт по 15 байт заменены на 13 (HEX). Если у вас не изменился размер файла, то я даже не предполагаю как эти данные восстановить.

В моем варианте я вижу по 15 байт в смещении 400 800 с00 1000
В конце файла действительно есть добавка в виде символов, возможно это строка код по которой была произведена кодировка...

В моем варианте я вижу по 15 байт в смещении 400 800 с00 1000
В конце файла действительно есть добавка в виде символов, возможно это строка код по которой была произведена кодировка...

Может у Вас другие циферки в расширении и соответвенно алгоритм разный.
Сам файл-вируса отловить удалось ?

у drWeb нашли разновидности и определили уже зловреда.
Encoder.278

*.mambaee@aol.com_xxx, *.zero@dbzmail.com_xxx
А файла te278decrypt пока не появилось в открытом доступе

Может у Вас другие циферки в расширении и соответвенно алгоритм разный.
Сам файл-вируса отловить удалось ?

Да нет, просто я в десятеричной системе писал. Там еще начиная с середины файла (если брать размер зашифрованного файла), есть последовательность, когда зашифрованные байты идут сначала через один, затем через два, три и т.д. до 16.

Да нет, просто я в десятеричной системе писал. Там еще начиная с середины файла (если брать размер зашифрованного файла), есть последовательность, когда зашифрованные байты идут сначала через один, затем через два, три и т.д. до 16.

Мой антивирус в карантин поместил файл 312.exe
Где-то вычитал что это якобы только загрузчик, который сидит пару дней в компе и загружает шифровальщик, а после отработки удаляется вместе с шифровальщиком...
Вообщем обратившись за помощью на сайт http://virusinfo.info по результатам сканирования мне прислали скрипт, который должен был убрать в карантин DLL -ку , но почему-то в папке карантина программы AVZ после отработки скрипта и перезагрузки я не обнаружил эту DLL-ку, возможно что её уже не было в коме, а в реестре что-то болталось от неё... возможно это и был шифровальщик... теперь у меня только 312.exe в наличии, если нужен могу скинуть..

Скиньте лучше на DrWeb или в лабораторию Касперского. Я не оцениваю свои силы и ресурсы достаточными, чтобы расшифровать RSA, даже зная открытый ключ.

То же самое, расширение zero@dbzmail.com_IQ80.
Название трояна: Trojan.Win32.Qhost.afre, могу выложить тело вируса (вроде убитого) в архиве, второй архив - пара исходный/зашифрованный файл, пароль к архивам "вирус"

Fireleo, а ваш декодер для расшифрования фотографий ZUBAGUGU@AOL.COM_A3 будет?

Fireleo, а ваш декодер для расшифрования фотографий ZUBAGUGU@AOL.COM_A3 будет?

Вряд ли, уже есть готовый от DrWeb.

огромное спасибо Fireleo за утилиту, все файлы с расширением barbitariat успешно расшифровались. респект и уважуха !!!!!!

Друзья! сталкивался ли кто-то с модификацией *.yaps?
Приложил 2 пары: больной и оригинал
http://files.mail.ru/8A0A0029D4FB48979ABEAA92059204E8

Fireleo, а ваш декодер для расшифрования фотографий ZUBAGUGU@AOL.COM_A3 будет?
Я уже выложил его выше. См. форум.

Добрый день, схватил и я такой вирус (a3)
К сожалению нет исходных фалов, помогите расшифровать/подобрать ключ

Добрый день!

Поймали вирус 07.08.2013 (... ...)
Зашифровал файлы (doc, xls, xml, pdf. jpg)
расширение zero@dbzmail.com_IQ77

africa.bmp - картинка, лежит в автозагрузке пользователя
http://img707.imageshack.us/img707/7246/uexj.jpg

Помогите расшифровать файлы.

архив africa(psw_virus).zip, пароль virus
1. вирус - 3fe94.exe, находится в папке Temp в профиле пользователя
2. зашифрованные файлы для примера

Друзья! сталкивался ли кто-то с модификацией *.yaps?

С такой даже еще drWeb не встречался

Помогите расшифровать файлы.

На прошлой странице последняя информация которая есть по этому вирусу. Новей пока ничего нет

Единственный совет (если не желаете платить)- если есть лицензия drWeb - обращайтесь к ним в поддержку. если нет лицензии - подумайте над вариантом купить ее и далее в поддержку.


p.s.> А пробовали связываться - сколько денег просят ?

Добрый день, схватил и я такой вирус (a3)
К сожалению нет исходных фалов, помогите расшифровать/подобрать ключ

по информации drWeb
Расшифровка возможна в случае если у вас есть пара файлов: оригинал и он же после шифрования. Утилита потребует хотя бы одну такую пару. Дополнительно вам потребуется зашифрованный архив, причем размер архива должен быть строго больше (важно!!!) файлов из пары. Когда вы имеете три таких файла, переносите их на машину БЕЗ (это опять важно!!!) зашифрованных файлов. Запускаете утилиту, указываете пару, ждете завершения. Должен будет расшифроваться тот самый архив. После этого архив нужно открыть архиватором и в архиваторе выполнить проверку архива. Только если архив расшифровался нормально и архиватор не выдал ошибок (это САМОЕ ВАЖНОЕ!!!) можно использовать именно эту пару (!!!) для расшифровки всех файлов. Если архив расшифровался с ошибкой - пробуйте другую пару, размер ее файлов должен быть больше размера файлов предыдущей, и размер архива снова должен быть больше новой пары!


Из-за специфичности применяемой криптографии (а точнее - криволапия и скудоумия авторов ее) подбор параметров расшифровки может происходить с ошибками и именно указанный способ позволит вам ТОЧНО проверить что все хорошо.
Так что только одного файла мало для попыток расшифровать ну или к drWeb в поддержку - может быть у них какая-то новая информация появилась

На прошлой странице последняя информация которая есть по этому вирусу. Новей пока ничего нет

Единственный совет (если не желаете платить)- если есть лицензия drWeb - обращайтесь к ним в поддержку. если нет лицензии - подумайте над вариантом купить ее и далее в поддержку.


p.s.> А пробовали связываться - сколько денег просят ?

Денег просят 2 биткоина(((... У меня так до сих пор все зашифровано лежит... Кто сможет мне помочь и расшифровать в долгу не останусь))

На прошлой странице последняя информация которая есть по этому вирусу. Новей пока ничего нет

Единственный совет (если не желаете платить)- если есть лицензия drWeb - обращайтесь к ним в поддержку. если нет лицензии - подумайте над вариантом купить ее и далее в поддержку.


p.s.> А пробовали связываться - сколько денег просят ?

В тех. поддержку drWeb писал,
раньше бесплатно помогали расшифровать, сейчас только пользователям продуктов Dr.Web., журнальные ключи не годятся.
Если б мои файлы были, я может и заплатил бы.
У нас SEP_11.0.5 установлен, не очень то хорош.

В тех. поддержку drWeb писал,
раньше бесплатно помогали расшифровать, сейчас только пользователям продуктов Dr.Web., журнальные ключи не годятся.
Если б мои файлы были, я может и заплатил бы.
У нас SEP_11.0.5 установлен, не очень то хорош.
Ну да. Сейчас эпидемия по таким шифровальщикам идет. И вполне логично что drWeb за просто так помогать пользователям которые купили другие антивирусы - не желает. Как они пишут - после окончания эпидемии - бесплатна помощь будет опять доступна для всех.
А на текущий момент слишком много запросов поступает и потому обслуживают только "своих"


А по поводу установленного у Вас антивируса не переживайте - он хороший. Такие вирусы пропускают практически все антивирусные программы из-за особенностей механизма распространения и специфики работы. Посмотрите в интернете -жалуются пользователи практически всех антивирусов.
Но вот так оперативно общаются и делают утилиты только в drWeb. На сайтах других антивирусных компаний вообще нет никаких инструментов и способов лечения.

Вряд ли, уже есть готовый от DrWeb.

который был приведен выше?

нет ((((

Fireleo, работает ли на А3 декодер от дк.вэба который приведен выше??

Fireleo, работает ли на А3 декодер от дк.вэба который приведен выше??
Условия при которых работает дешифровщик drWeb я писал выше на этой странице

по информации drWeb

Так что только одного файла мало для попыток расшифровать ну или к drWeb в поддержку - может быть у них какая-то новая информация появилась

по информации drWeb
Цитата:

Расшифровка возможна в случае если у вас есть пара файлов: оригинал и он же после шифрования. Утилита потребует хотя бы одну такую пару. Дополнительно вам потребуется зашифрованный архив, причем размер архива должен быть строго больше (важно!!!) файлов из пары. Когда вы имеете три таких файла, переносите их на машину БЕЗ (это опять важно!!!) зашифрованных файлов. Запускаете утилиту, указываете пару, ждете завершения. Должен будет расшифроваться тот самый архив. После этого архив нужно открыть архиватором и в архиваторе выполнить проверку архива. Только если архив расшифровался нормально и архиватор не выдал ошибок (это САМОЕ ВАЖНОЕ!!!) можно использовать именно эту пару (!!!) для расшифровки всех файлов. Если архив расшифровался с ошибкой - пробуйте другую пару, размер ее файлов должен быть больше размера файлов предыдущей, и размер архива снова должен быть больше новой пары!


Из-за специфичности применяемой криптографии (а точнее - криволапия и скудоумия авторов ее) подбор параметров расшифровки может происходить с ошибками и именно указанный способ позволит вам ТОЧНО проверить что все хорошо.




А где этот дешифратор описанный ДР.Вэбом взять? Мож кто скинет?

А где этот дешифратор описанный ДР.Вэбом взять? Мож кто скинет?

Отправил ссылку в личку

Отправил ссылку в личку

Можно мне тоже ссылку, попробовать расщифровать свои файлы..

Про файлы зараженные .ZERO@DBZMAIL.COM_IQxxx

на форуме Касперского появилось сообщение:
> "Пиратский" шифровальщик: симбиоз с RSA
http://forum.kaspersky.com/index.php?showtopic=270612

Вывод достаточно печальный:
Вывод: без оригинального дешифратора расшифровать невозможно (все сложности из-за этапа 2, поскольку ключи шифрования и дешифровки разные).

Еще не все потеряно. Последние известия от drWeb:
С 252-м была аналогичная ситуация, но наша тулза за 20 часов подобрала ключ. Я бы воздержался от комментариев, пока лично не посмотрю что там и как.

Кстати информация для тех у кого файлы поражены этим вирусом.barbitariat

На файлы с расширением.barbitariat в настройках Windows устанавливается ассоциация на программу обработчик (находящаяся скорей всего в каталоге Temp) и если пользователь по случайности попробует открыть или запустить такой файл по клавише Enter или двойным щелчком мыши - то автоматически запустится еще одна копия вируса и продолжит шифровать файлы. Так что не выличив компьютер от тела вируса не надо пытаться запускать такие файлы двойным щелчком мыши или кнопкой Enter.

Файлы в проводнике Windows указываются типа Crypted - это признак наличия ассоциации на программу-вирус

Fezoo выложил свою утилиту для расшифровки файлов поврежденных вирусом .barbitariat на общий доступ
http://forum.kaspersky.com/index.php?showtopic=270206&st=20&start=20
Утилит работает хорошо и быстро. В отличии от утилиты drWeb позволяет выбрать конкретный файл или каталог
Рекомендую

Все благодарности Fezoo

Добрый день, попался сестренке такой вирус расширение ZUBAGUGU@AOL.COM_A4
пробовал расшифровать прогой выше не помогло видать ключ другой помогите плиз сестренка вспышку промаргала и все фото и рабочая документаци зашифрована, копий резервных естественно нет, нашел на флешке оригиналы файлов, говорит должны совпадать, даю оригинал и зашифрованные файлы 100191

Добрый день, попался сестренке такой вирус расширение ZUBAGUGU@AOL.COM_A4
пробовал расшифровать прогой выше не помогло видать ключ другой помогите плиз сестренка вспышку промаргала и все фото и рабочая документаци зашифрована, копий резервных естественно нет, нашел на флешке оригиналы файлов, говорит должны совпадать, даю оригинал и зашифрованные файлы 100191

Запустите программу на зараженном компьютере, нажмите кнопку получить и сообщите результат (серийный номер системного диска). Если все совпадет, доделаю свой декодер до универсального состояния.

И, если есть, пришлите какой-нибудь зашифрованный архив.

серийный номер системного диска:
524C-CE23

Нашел пару зиповских архива 100205

524C-CE23

Нашел пару зиповских архива 100205

Будьте добры, повторите процедуру. И обязательно на том компьютере, на котором зашифровались файлы. Ключ для вашего случая, я нашел, но хотелось бы автоматизировать процесс.

простите просмотрел что на зараженном компе надо было, просто я не стал дергать тот комп дабы там все не зашифровалось, из под лайв сд файлы дергал. из под безопасного режима код дернуть можно?

код, выдернул в безопасном режиме:
06B9-1E63

Да, вполне. Главное запустите на зараженной системе. А файлы ваши отлично дешифруются и проходят проверку на целостность.

Дописал таки. Добавил возможность автоматического определения ключа (будет работать только если запустить под системой, что была заражена) + исправил разные недочеты, вроде подвисания, "не отпускания" файлов и т.д.

GetKey.exe - эта программка позволит получить вам ключ для дешифровки, в случае если вы скопировали файлы на другой ПК. Ключ необходимо вставить в соответствующее поле дешифратора и не устанавливать галочку "подобрать ключ".
Внимание! - для получения верного ключа, GetKey.exe необходимо запустить на той же системе где и произошла шифровка файлов, допустим запуск при загрузке Windows в безопасном режиме.

P.S. Для A3 будет тоже самое, как только кто-нибудь пришлет либо тело вируса, либо (что лучше) определенный с помощью этой программки (http://nash-forum.itaec.ru/attachment.php?attachmentid=100207&d=1376541626) ID и хотя бы зашифрованные файлы, в идеале вместе с оригиналами.

Респект, Вам.Дешефруются. Кинь в личку номер сотового, закину денег на мобилу, т.к. пиво по инету не отправить))

Banan@blader.... подскажите есть дешифратор вообще в природе?

Banan@blader.... подскажите есть дешифратор вообще в природе?

Меня тоже интересует данный вопрос. Помогите, база 1С закодирована :( имеет расширение banan@blader.com_IQ58

Уже писали же, вот цитата с форума DrWeb:
Расшифровка: Без секретной части ключа, которая есть только у автора трояна или в его утилите для расшифровки - невозможна. Возможно только частичное восстановление JPG и офисных файлов. Ни для одного из вариантов полноценной расшифровки пока нет.

Криптография: Основная проблема в том, что используется RSA. Для тех, кто считает что это просто, что мы должны расшифровывать это за 3 дня - предлагаю разложить на простые множители число 70454685561089372091240211080167978531372245100332 91735402711303430593
17666008761255670231493342314109825103211047748203 80185353487673812477
67402601339993133294836346986225534587216545034085 32977789310911094074140229132163444279940996038117
Задача по расшифровке данных сводится именно к разложению подобных чисел на множители.

Про файлы зараженные .ZERO@DBZMAIL.COM_IQxxx

на форуме Касперского появилось сообщение:
> "Пиратский" шифровальщик: симбиоз с RSA
http://forum.kaspersky.com/index.php?showtopic=270612

Вывод достаточно печальный:


Еще не все потеряно. Последние известия от drWeb:


Ребят... есть что нибудь свежее по расшифровке ??? У меня так все зашифрованное на компе и осталось... платить этим хакерам не хочу...(((

uas@nonpartisan.com_IQ115
есть ли решение?

Я уже писал, что для борьбы с RSA у меня нет ни навыка, ни, главное, ресурсов. Да что там я, лаборатория DrWeb, тоже пока не может дать результата. А я их спецу v.martyanov'у в подметки не гожусь.

на @AOL.COM_S3 на форуме нашел решение.
А можно просить переделать decoder -S3.exe с интерфейсом как в A4 , чтобы можно было перекодировать с перезаписыванием файлов ? Очень большой объем =( Он и фотографии перекодировал =(

на @AOL.COM_S3 не работает !!!
помогите !

Архив зашифрованный пришлите.

Архив зашифрованный пришлите.

Прошу прощения , на 3третьй странице нешал - работает ! объем просто очень большой. Потому и прошу если не сложно, в интерфейсе для s3 добавить - перезапись файлов.

Если еще нужно архив , соберу.

на @AOL.COM_S3 на форуме нашел решение.
А можно просить переделать decoder -S3.exe с интерфейсом как в A4 , чтобы можно было перекодировать с перезаписыванием файлов ? Очень большой объем =( Он и фотографии перекодировал =(

Декодер по умолчанию файлы перезаписывает, толь в новом варианте можно это отменить. Вы объясните, что и каким образом у вас не дешифруется?

У меня паразиты ZUBAGUGU@AOL.COM_S3
Перекодировать смог только с помощью decoder-s3.exe со второй страницы.
Не дешифровалось видимо потому , что сам дурак , пытался S3 кодировать A3-A4.
А decoder-s3 все прекрасно расшифровывает, только остается сам закодированный файл , а если их по 1000 штук в папке ... в каждой папке появляются дубляжи =(

о остается сам закодированный файл
Безопасности, ради. Вдруг какой косяк в дешифраторе.

Тем более не я создавал эти файлы, не мне их и удалять :)

Если места на диске не хватает, то дешифруйте по папкам и удаляете шифрованный, после того как убедились в дешифрации.

Архив зашифрованный пришлите.
100332

Только 1 файл не восстановился. Прошу помощи. qwe123

Прошу помочь с расшифровкой.
Ко всем файлам добавлено .tutu@safrica.com_X17
Если удастся расшифровать фотки, с меня $.
Выкладываю примеры зашифрованных и исходных файлов .xml и .pdf
http://files.mail.ru/813C6D9366864534BA030AE321FD9670

Здравствуйте мне пришло письмо от судебных приставов. В прикрепленном архиве было 2 файла, один из них был word другой без расширения. Я их распаковал и открыл. Компьютер оставил работать и сел за него только через несколько часов. И увидел что все фото были переименована на
**.jpg.mambaee@aol.com_IQ8 . Поменялась заставка. Антивирус аваст. Из автозагрузок убрал 2 файла: "africa.bmp" и "Обращаем ваше внимание на четкое формулирование сущности жалобы.exe"
Пробовал связаться с хакерами по MAMBAEE@AOL.COM но майл заблокирован. Вирус зашифровал 51гб семейный фото за несколько лет! Пробовал дешифратором от касперского не помогает. Помогите, в долгу не останусь!

Добрый день!
помогите, пожалуйста, вот с этой разновидностью

mambaee@aol.com_IQ11

оригинал и поврежденный файл в приложении

спасибо!

заплатил хакеры прислали дешифратор для MAMBAEE@AOL.COM пароль для архива 123

Прошу помочь с расшифровкой.
Ко всем файлам добавлено .tutu@safrica.com_X17
Если удастся расшифровать фотки, с меня $.
Выкладываю примеры зашифрованных и исходных файлов .xml и .pdf
http://files.mail.ru/813C6D9366864534BA030AE321FD9670

Пришлите фото зашифрованное, там не так уж много и закодировано, возможно на фото потери будут вообще незаметны, если восстановить заголовок.

P.S. По поводу $ - вы не первый кто грозится, толку только нет.


заплатил хакеры прислали дешифратор для MAMBAEE@AOL.COM пароль для архива 123
Скажите а как вы с ними связались, если почта заблокирована? В антивирусные лаборатории еще не отправляли? Если нет отправьте им очень пригодится.

uas@nonpartisan.com_IQ115
есть ли решение?

Пришлите образец зашифрованного файла, в принципе могу сделать аналог утилиты от DrWeb, т.е. восстановление файлов с некоторыми потерями. Картинки должны хорошо восстанавливаться, а в документах может слететь форматирование и частично похериться текст.

Пришлите фото зашифрованное, там не так уж много и закодировано, возможно на фото потери будут вообще незаметны, если восстановить заголовок.

P.S. По поводу $ - вы не первый кто грозится, толку только нет.



Скажите а как вы с ними связались, если почта заблокирована? В антивирусные лаборатории еще не отправляли? Если нет отправьте им очень пригодится.

майл в первый раз набрал маленькими буквами - не дошло письмо. Во второй раз отправил на майл с заглавными и они ответили спустя где то дня три. Оплату произвел им - купил биткоинты и они выслали дешифратор. В общем переписывался с ними где то дня три.

заплатил хакеры прислали дешифратор для MAMBAEE@AOL.COM пароль для архива 123
Похоже хакеры под видом дешифратора пытаются еще трояна подсунуть
Вот отчет по этому файлу VirusTotal:
https://www.virustotal.com/ru/file/025ddc8bae69d59b5320d22e76a05aee4fc1ef571e38726cf1 0c2f2438b6d1e7/analysis/1378067951/

Вы этот файл запускали ? Вам удалось расшифровать файлы ?

P.S.>По любому после этой утилиты обязательно проверьте систему на наличие вредоносного ПО

Почти все что распознают угрозу считают файл "подозрительным", а не конкретным трояном. Возможно это результат попыток защитить код от исследования -обфускатор, упаковщик. В любом случае стоит отправить файл в вирусные лаборатории. В DrWeb я отправил.

Да все расшифровал но медленно почти сутки

В Dr.Web проверили, закладок нет. Добавили функционал в свою утилиту.

Расшифровка на этом ключе запускается командой
te102decrypt.exe -k 86 -e .mambaee@aol.com_IQ8
// расшифровывать файлы на всех дисках
или
te102decrypt.exe -k 86 -e .mambaee@aol.com_IQ8 -path D:\Path
// расшифровывать файлы только в каталоге D:\Path

Доброго времени суток. Тоже поймал сие чудо. Не могли бы вы посмотреть? Файлы имеют следующий вид: DC081211002.jpg.ZUBAGUGU@AOL.COM

Пришлите еще зашифрованный .doc

Добрый вечер, загрузить не получается пишет некорректный файл(((

В архив упакуйте.

В Dr.Web проверили, закладок нет. Добавили функционал в свою утилиту.

Вот бы еще узнать с какими параметрами для каких вирусов и какие утилиты.
А то утилиты у них лежат, а как их запускать они не хотят говорить просто так.

Помогите расшифровать файлы ,плиз!!!
все файлы с расширением HELP@AUSI.COMXQ111

имеются здоровый и больной файлик

Добрый день та же беда все фалы сменили расширение дописалось uas@nonpartisan.com_IQ270 вот такое кто нибудь смог расшифровать?

Добрый день та же беда все фалы сменили расширение дописалось uas@nonpartisan.com_IQ270 вот такое кто нибудь смог расшифровать?

У меня нету образцов всех зашифрованных файлов и я не могу их считывать на расстоянии. Однако по некоторым признакам могу предложить, что там какой-то модифицированный RSA. Следовательно максимум что я могу предложить, это аналог утилиты от Dr.Web которая частично расшифровывает файлы. Плюс сейчас я работаю над программой восстановления баз для 1С 7.7. Там одни DBF'ки и у большинства затерты только заголовки.

Если кому такая нужна сообщите, глядишь я побыстрее её закончу.

Fireleo все файлы с расширением HELP@AUSI.COMX[/email]Q111 помоги пож с расшифровкой

Здравствуйте, вирус (Салют буржуа...) зашифровал документы(docx,doc,jpg ...). Декриптор с 14 страницы пробовал расшифровать с параметрами -k 86 -e .SAD@FIREMAN.NET_AM110 -path C:\1. Но при открытии расшифрованных файлов все равно ошибка, содержимое офисных документов вообще не читается, с фотками та же история. Подскажите,пожалуйста, как использовать этот дешифровщик, может быть параметры какие поменять?
В прикрепленном файле, примеры зашифрованных файлов, помогите, пожалуйста

mambaee@aol.com_IQ5

Есть ли дешефровальщик? скинте ссылку плиз на почту arvbs@mail.ru
отблагодарю.

http://vk.com/feed?section=comments&z=photo-21732235_310219999%2Fwall-21732235_1066:trolo2:Всем привет, подобная проблема. Поймал вирус trojan.encoder.293 он зашифровал фото, архивы, доки, поменял расширения на sad@fireman.net_AM119 и удалился. Уже всё перепробывал, сил нет уже. Прошу кто сталкивался или знает, помогите. Жду ответа сюда или на мыло undead26rus@list.ru

Пройдитесь по тому с битыми файлами утилитой восстановления. Мне помог EasyRecovery.
Червь, как я понял, сначала создает зашифрованную копию файла, а потом убивает исходник. Посекторным сканированием удалась восстановить эти самые удаленные оригиналы.

Добрый вечер. Помогите, пожалуйста, словили недавно AFRICA@TOKE_718, воспользовались декриптором отсюда http://rghost.ru/47901311, почитали, как применять со страницы доктора веба http://forum.drweb.com/index.php?showtopic=314769, расшифровал все вордовские и джипеговские файлы,
а вот txt все зашифрованы, также видео, например, KMPlayer - перевернуто видео (не поворачивается обратно), субтитры зашифрованы, флэшки названия зашифрованы, некоторые программы при установке меню зашифрованы, и set upники не дает поставить,
на незараженном компе пробовали - таже история.
что делать?
во вложении 2 файла один зашифрованный, один нормальный и зашифрованный архив (по требованиям доктора веба)
спасибо.

Здравствуйте нужна помощь!
Зашифровались вордовские файлы вирусом REDBULL@PRIEST.COM можно как-нибудь расшифровать. Также зашифровалась библиотека 1C, помогите пожалуйста, прикрепляю вордовские файлы в сообщение

То же самое май.docx.REDBULL@PRIEST.COM_RB310

"REDBULL@PRIEST.COM_RB312"
Прикладываю сам вирус, исходные и шифрованные файлы в форматах jpg, doc и xls.
Помогите пожалуйста восстановить фотографии (документы не важны)! Пароль на архив virus

та же проблема. Помогите!!! подписывает фалы ZANZIBAR@umpire.com_ZA140 и изображения и текстовые файлы. Прикладываю изображение из автозапуска и текстовый файл подписаный.

Здравствуйте.Вчера стал заложником "африканских пиратов".Все текстовые и графические файлы зашифрованы HELP@AUSI.COM_XO123.Помогите пожалуйста

Добрый день!
Fireleo, помогите, пожалуйста, с декриптором для HELP@AUSI.COM_XO103. Подобрал пары исходных файлов для 4-х пораженных расширений - docx, xlsx, pdf, jpg. Заранее благодарен!!!

Здравствуйте! Умоляю, помогите, пожалуйста, вылечить компьютер... Зашифрованные файлы с дополнительным расширением HELP@AUSI.COM_XO138. Вы - единственная надежда...

Лечение для варианта mboaue@aol.com_129 не попадалось ?

Был такой косяк.
Вот исправленныйю
Файлы с кодом backspace@riseup.net_855 не лечатся.

Привет! Вирус зашифровал файлы и дописал расширение "oshit". Умоляю, помогите расшифровать! Очень много нужных фотографий((((( Прикрепляю оригиналы и испорченные.

Здравствуйте.
зацепился на трояна-шифратора ZANZIBAR@umpire.com_ZA171, похожий на .ZUBAGUGU@AOL.COM, только с таким изображением. Соответственно тоже очень нужна помощь, "погорели" все фотоархивы :trolo2:
http://php-studia.ru/?s=africa.jpg

Здравствуйте, словили вирь backspace@riseup.net_140 буду признателен если кто нубуть нашёл дешифратор или подскажет куда можно копать

Всем привет!! Просьба помочь!
Подцепили вирус с расширением (имя файла).backspace@riseup.net_535. Можете дешифратор создать. Спасибо.

Помогите пожалуйста если сможете
ZUBAGUGU@AOL тех.поддержка др.веб и касперский не осилили

Заплатил за дешифратор .backspace@riseup.net_525. Все прислали с рекомендациями. Кому интересно пишите argon407@gmail.ru

Заплатил за дешифратор .backspace@riseup.net_525. Все прислали с рекомендациями. Кому интересно пишите argon407@gmail.ru

argon407@gmail.com

Подцепила шифратор backspace@riseup.net_545 Может поможете

Привет помогите расшифровать

backspace@riseup.net_448

Такой дешифратор есть?, в теме вообще живой кто есть?

Вот он с исходниками на delphi.

Уважаемый Fireleo!
Не вижу, где проект с исходниками или вы его удалили?
Вообще интересует такая шняга:
xxx.doc.backspace@riseup.net_244

244 модификация никому еще не попадалась?
Нужно восстановить doc и xls файлы...

Доброго времени суток! Сегодня словил вот такую бяку - антивирус NOD молчит но большинство файлов не открываются - везде внутри файлы начинаются с FcF, расширение не поменено, банеров и сообщений никаких - тишина. Стандартные утилиты от касперского и Доктора Веба пробывал. Есть два файлика оригинал и шифрованный - есть ли возможность помочь? Ссылка на образцы http://gfile.ru/a6C7b

Добрый день!
Помогите, пожалуйста – вирус зашифровки файлов и переименование их с добавлением «хвостом» yourfiles2014@yahoo.com_m2np
Ситуация следующая:
Утром при проверки было обнаружено письмо с темой «заказ» и архивом в котором содержался файл с расширением «scr».После открытия, где-то через пару часов все файлы на винчестере и флешки были закодированы, не знаю как с этим бороться помогите, пожалуйста.
Как это декодировать?
Если нужно есть и эта вредоносная зараза (если мало ли нужна для борьбы).

В прикрепленных файлах три варианта (по расширению) в архиве оригинал и зашифрованный.
Заранее благодарна за любой совет или помощь.

Добрый день!
Помогите, пожалуйста – вирус зашифровки файлов и переименование их с добавлением «хвостом» yourfiles2014@yahoo.com_m2np
Ситуация следующая:
Утром при проверки было обнаружено письмо с темой «заказ» и архивом в котором содержался файл с расширением «scr».После открытия, где-то через пару часов все файлы на винчестере и флешки были закодированы, не знаю как с этим бороться помогите, пожалуйста.
Как это декодировать?
Если нужно есть и эта вредоносная зараза (если мало ли нужна для борьбы).

В прикрепленных файлах три варианта (по расширению) в архиве оригинал и зашифрованный.
Заранее благодарна за любой совет или помощь.

Та же проблема! Присоединяюсь к вопросу... только у меня следующие разрешение
база.xls.paycrypt@gmail_com
Очень важная информация!!! Люди добрые, помогите! В долгу не останусь!

помогите! зашифровались все файлы. Посылаю образец оригинала и зашифрованного файла - говорят, что это поможет, а так же посылаю файл ***.scr который и стал виновником этой беды...

Та же проблема! Присоединяюсь к вопросу... только у меня следующие разрешение
база.xls.paycrypt@gmail_com
Очень важная информация!!! Люди добрые, помогите! В долгу не останусь!тоже вчера словил только расширение keybtc@gmail_com ПОМОГИТЕ!!!

Шансов на расшифровку мало. Описание модификации - http://vmartyanov.ru/keybtcgmail_com/

Ребята,
если вдруг кто-то оплатит злоумышленникам, напишите обязательно о результатах.
Вариантов, я так понимаю, немного... Но не хотелось бы деньги потерять

Здравствуйте!

Пишу от имени одной Московской школы, по понятным причинам номер не указываю.
Эти люди пошли на встречу и для школы бесплатно прислали дешифратор, скриншоты переписки прилагаются.

Сообщение.

Недавно мы стали жертвой вируса "keybtc". На одном из компьютеров школы были зашифрованы все документы, связанные с работой школы и прикрепленных детских садов, вся документация. Это расширения doc, docx, xls, xlsx, pdf, и все картинки и фотографии. Это примерно несколько тысяч файлов.

Произошло это 11 августа, и сразу после этого обнаружили на рабочем столе текстовый файл с инструкцией, что мы стали жертвой вируса и все файлы зашифрованы. В инструкции было описание куда и как перечислить деньги, чтобы получить дешифратор. В конце инструкции была приписка - "Процесс шифрования закончен: 11.08.2014 / 13:55".

Мы обратились в одну известную антивирусную лабораторию, создали заявку, прислали все файлы и всю информацию, которую они запросили. Через несколько дней пришел ответ, что у них пока нет дешифратора, что в вирусе используется криптостойкий алгоритм шифрования, и чтобы мы следили за их новостями, когда появится ключ.

Мы уже не знали что делать.

Решили попробовать написать на емайл, который был указан в инструкции - keybtc@gmail.com
Отправили два файла ключа, которые тоже появились одновременно с инструкцией, это "KEY.PRIVATE" и "UNIQUE.PRIVATE".
Судя по описанию, это необходимые файлы для расшифровки документов.

Текст письма был следующий:
"Здравствуйте!

Обращается к Вам школа №***, просим дешифратор, спасибо!
Все нужные файлы приложили.".

Ответа сперва не было.
Решили написать через крипто-систему Bitmessage на их адрес, который был указан в инструкции.

Мы уже не надеялись на ответ. Буквально через несколько минут от них пришел ответ.

Переписка была следующая:
- Мы: Здравствуйте! Обращается к Вам школа №***, просим дешифратор, спасибо!

- Они: Отправьте заявку с почты.

- Мы: Писали на keybtc@gmail.com, ответа не было, по инструкции написали сюда. Сейчас еще напишем.

- Они: Все доказательства прикрепляйте сразу

(После этого мы еще раз отправили письмо и приложили три зашифрованных документа.)

- Мы: Спасибо большое! Дешифратор по почте получили, утром запустим на компьютере в школе, отзывы напишем! Спасибо!

Переписывались с ними ночью. Они пошли нам на встречу и бесплатно прислали дешифратор уже через несколько минут после переписки.

Пришло два письма, одно с ответом, другое с дешифратором.

********************
Письмо 1:
Здравствуйте. Был выполнен анализ Вашего компьютера (id: 28BC91F0)

Дата шифрования: 2014-08-11
Количество файлов: 7455
Сгенерированный счет: 1AbaXwJn67sgpuQG5Dk6TnF6ovBgj97SWc
Стоимость: 0.0000000 BTC
********************

Письмо 2:
Во вложении находился сам файл дешифратор.
********************

Днем на школьном компьютере запустили дешифратор и через, примерно полчаса, все документы были расшифрованы!

Скриншоты переписок можно просмотреть здесь:
http://s019.radikal.ru/i631/1408/3d/64ef6b916f7c.jpg
http://s020.radikal.ru/i703/1408/ac/3064910538c1.jpg
http://s017.radikal.ru/i405/1408/36/12483bf4b039.jpg
http://s017.radikal.ru/i442/1408/96/6d589a37918d.jpg

Хотим поблагодарить их за то, что они пошли нам на встречу и для школы бесплатно прислали дешифратор.
Как и обещали, написали отзыв.
Спасибо!

--
С уважением,
Московская школа №*** (номер по понятным причинам не указываем).

Запустили гадость из письма, просьба помочь. Вот пара файлов.

Привет, выложил пару обновлённых дешифраторов: Дешифраторы для файлов (http://q1i.ru/deshifr-virus.html) и описание как ими пользоваться.....
Надеюсь помогут пострадавшим.
Там новые версии дешифраторов касперского и веба.

Привет, выложил пару обновлённых дешифраторов: Дешифраторы для файлов (http://q1i.ru/deshifr-virus.html) и описание как ими пользоваться.....
Надеюсь помогут пострадавшим.
Там новые версии дешифраторов касперского и веба.

Тогда уж и от ESET вот здесь (http://www.eset.com/int/download/utilities/) и тут (http://forum.esetnod32.ru/forum35/). Использовать только имея резервные копии!

Всем доброго времени суток. Такая проблема скачал сын песню с сайта одного запустил а установился вирус, который зашифровал фото, документы, короче много файлов, не знаю что теперь делать, есть фай который был скачан, и сайт с которого было скачано этот файл, помогите мне пожалуйста.

Вирусы в лабораторию отправлять нужно, а не делиться им со всеми. :)
Выложите пару файлов - зашифрованный и оригинальный (при налчии).

Зашифрованные файлы есть а оригинальных нет, прикреплю только зашифрованные