Форум города Пущино: НАШ ФОРУМ
 
Облако тегов:
Навигация форума:
Герб города ПущиноФорум Пущино  

Для полноценной работы с сайтом вам необходимо установить Adobe Flash Player не ниже 10-ой версии.

Вернуться   Форум города Пущино > Hard & Soft > Информационная безопасность
На главную Форумы Регистрация Правила форума Русская баняДневники Поиск Сообщения за день Все разделы прочитаны
Важная информация

Информационная безопасность Антивирусы, Firewall и другие средства защиты от злоумышленников.

Оценка этой теме - Опасный вирус в локалке шифрует файлы.
(14)
Рейтинг темы: голосов - 14, средняя оценка - 4.79.

Ответ
 
Опции темы Опции просмотра
Старый 12.08.2013, 14:37   #166
Новенький
 

Регистрация: 07.08.2013
Сообщений: 4
Вы сказали Спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
AndersonGH пока неопределено; 0%AndersonGH пока неопределено, 0%AndersonGH пока неопределено, 0%
Очки: 18, Уровень: 1 Очки: 18, Уровень: 1 Очки: 18, Уровень: 1
Опыт: 35% Опыт: 35% Опыт: 35%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Цитата:
Сообщение от mrFiX
Отправил ссылку в личку

Можно мне тоже ссылку, попробовать расщифровать свои файлы..
AndersonGH вне форума   Ответить с цитированием
Старый 12.08.2013, 14:48   #167
Форумчанин
Курсант
 

Регистрация: 05.08.2013
Сообщений: 30
Вы сказали Спасибо: 1
Поблагодарили 4 раз(а) в 4 сообщениях
mrFiX пока неопределено; 0%mrFiX пока неопределено, 0%mrFiX пока неопределено, 0%
Очки: 264, Уровень: 5 Очки: 264, Уровень: 5 Очки: 264, Уровень: 5
Опыт: 28% Опыт: 28% Опыт: 28%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Про файлы зараженные .ZERO@DBZMAIL.COM_IQxxx

на форуме Касперского появилось сообщение:
> "Пиратский" шифровальщик: симбиоз с RSA
http://forum.kaspersky.com/index.php?showtopic=270612

Вывод достаточно печальный:
Цитата:
Вывод: без оригинального дешифратора расшифровать невозможно (все сложности из-за этапа 2, поскольку ключи шифрования и дешифровки разные).

Еще не все потеряно. Последние известия от drWeb:
Цитата:
С 252-м была аналогичная ситуация, но наша тулза за 20 часов подобрала ключ. Я бы воздержался от комментариев, пока лично не посмотрю что там и как.


Последний раз редактировалось mrFiX; 12.08.2013 в 15:47.
mrFiX вне форума   Ответить с цитированием
Старый 12.08.2013, 15:00   #168
Форумчанин
Курсант
 

Регистрация: 05.08.2013
Сообщений: 30
Вы сказали Спасибо: 1
Поблагодарили 4 раз(а) в 4 сообщениях
mrFiX пока неопределено; 0%mrFiX пока неопределено, 0%mrFiX пока неопределено, 0%
Очки: 264, Уровень: 5 Очки: 264, Уровень: 5 Очки: 264, Уровень: 5
Опыт: 28% Опыт: 28% Опыт: 28%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Кстати информация для тех у кого файлы поражены этим вирусом.barbitariat

На файлы с расширением.barbitariat в настройках Windows устанавливается ассоциация на программу обработчик (находящаяся скорей всего в каталоге Temp) и если пользователь по случайности попробует открыть или запустить такой файл по клавише Enter или двойным щелчком мыши - то автоматически запустится еще одна копия вируса и продолжит шифровать файлы. Так что не выличив компьютер от тела вируса не надо пытаться запускать такие файлы двойным щелчком мыши или кнопкой Enter.

Файлы в проводнике Windows указываются типа Crypted - это признак наличия ассоциации на программу-вирус
mrFiX вне форума   Ответить с цитированием
Старый 13.08.2013, 10:35   #169
Форумчанин
Курсант
 

Регистрация: 05.08.2013
Сообщений: 30
Вы сказали Спасибо: 1
Поблагодарили 4 раз(а) в 4 сообщениях
mrFiX пока неопределено; 0%mrFiX пока неопределено, 0%mrFiX пока неопределено, 0%
Очки: 264, Уровень: 5 Очки: 264, Уровень: 5 Очки: 264, Уровень: 5
Опыт: 28% Опыт: 28% Опыт: 28%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Fezoo выложил свою утилиту для расшифровки файлов поврежденных вирусом .barbitariat на общий доступ
http://forum.kaspersky.com/index.php...st=20&start=20
Утилит работает хорошо и быстро. В отличии от утилиты drWeb позволяет выбрать конкретный файл или каталог
Рекомендую

Все благодарности Fezoo
mrFiX вне форума   Ответить с цитированием
Старый 14.08.2013, 13:20   #170
Новенький
 

Регистрация: 12.08.2013
Сообщений: 4
Вы сказали Спасибо: 1
Поблагодарили 0 раз(а) в 0 сообщениях
Nutrinos пока неопределено; 0%Nutrinos пока неопределено, 0%Nutrinos пока неопределено, 0%
Очки: 16, Уровень: 1 Очки: 16, Уровень: 1 Очки: 16, Уровень: 1
Опыт: 31% Опыт: 31% Опыт: 31%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Добрый день, попался сестренке такой вирус расширение ZUBAGUGU@AOL.COM_A4
пробовал расшифровать прогой выше не помогло видать ключ другой помогите плиз сестренка вспышку промаргала и все фото и рабочая документаци зашифрована, копий резервных естественно нет, нашел на флешке оригиналы файлов, говорит должны совпадать, даю оригинал и зашифрованные файлы Файлы.zip

Последний раз редактировалось Nutrinos; 14.08.2013 в 13:24. Причина: не могу найти кнопку чтобы прикрепить файлы
Nutrinos вне форума   Ответить с цитированием
Старый 15.08.2013, 03:28   #171
Форумчанин
Курсант
 

Регистрация: 30.07.2013
Сообщений: 54
Вы сказали Спасибо: 4
Поблагодарили 69 раз(а) в 43 сообщениях
Fireleo пока неопределено; 0%Fireleo пока неопределено, 0%Fireleo пока неопределено, 0%
Очки: 324, Уровень: 6 Очки: 324, Уровень: 6 Очки: 324, Уровень: 6
Опыт: 48% Опыт: 48% Опыт: 48%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Цитата:
Сообщение от Nutrinos
Добрый день, попался сестренке такой вирус расширение ZUBAGUGU@AOL.COM_A4
пробовал расшифровать прогой выше не помогло видать ключ другой помогите плиз сестренка вспышку промаргала и все фото и рабочая документаци зашифрована, копий резервных естественно нет, нашел на флешке оригиналы файлов, говорит должны совпадать, даю оригинал и зашифрованные файлы Вложение 100191

Запустите программу на зараженном компьютере, нажмите кнопку получить и сообщите результат (серийный номер системного диска). Если все совпадет, доделаю свой декодер до универсального состояния.

И, если есть, пришлите какой-нибудь зашифрованный архив.

Последний раз редактировалось Fireleo; 15.08.2013 в 08:54.
Fireleo вне форума   Ответить с цитированием
Этот пользователь сказал Спасибо Fireleo за это полезное сообщение:
GloryCedar (14.11.2013)
Старый 15.08.2013, 06:24   #172
Новенький
 

Регистрация: 12.08.2013
Сообщений: 4
Вы сказали Спасибо: 1
Поблагодарили 0 раз(а) в 0 сообщениях
Nutrinos пока неопределено; 0%Nutrinos пока неопределено, 0%Nutrinos пока неопределено, 0%
Очки: 16, Уровень: 1 Очки: 16, Уровень: 1 Очки: 16, Уровень: 1
Опыт: 31% Опыт: 31% Опыт: 31%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Цитата:
Сообщение от Fireleo
серийный номер системного диска:

524C-CE23

Нашел пару зиповских архива Arhivi.zip
Nutrinos вне форума   Ответить с цитированием
Старый 15.08.2013, 07:25   #173
Форумчанин
Курсант
 

Регистрация: 30.07.2013
Сообщений: 54
Вы сказали Спасибо: 4
Поблагодарили 69 раз(а) в 43 сообщениях
Fireleo пока неопределено; 0%Fireleo пока неопределено, 0%Fireleo пока неопределено, 0%
Очки: 324, Уровень: 6 Очки: 324, Уровень: 6 Очки: 324, Уровень: 6
Опыт: 48% Опыт: 48% Опыт: 48%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Цитата:
Сообщение от Nutrinos
524C-CE23

Нашел пару зиповских архива Вложение 100205

Будьте добры, повторите процедуру. И обязательно на том компьютере, на котором зашифровались файлы. Ключ для вашего случая, я нашел, но хотелось бы автоматизировать процесс.
Вложения
Тип файла: exe Project1.exe (374.5 Кб, 33 просмотров)

Последний раз редактировалось Fireleo; 15.08.2013 в 07:40.
Fireleo вне форума   Ответить с цитированием
Этот пользователь сказал Спасибо Fireleo за это полезное сообщение:
GloryCedar (14.11.2013)
Старый 15.08.2013, 08:43   #174
Новенький
 

Регистрация: 12.08.2013
Сообщений: 4
Вы сказали Спасибо: 1
Поблагодарили 0 раз(а) в 0 сообщениях
Nutrinos пока неопределено; 0%Nutrinos пока неопределено, 0%Nutrinos пока неопределено, 0%
Очки: 16, Уровень: 1 Очки: 16, Уровень: 1 Очки: 16, Уровень: 1
Опыт: 31% Опыт: 31% Опыт: 31%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

простите просмотрел что на зараженном компе надо было, просто я не стал дергать тот комп дабы там все не зашифровалось, из под лайв сд файлы дергал. из под безопасного режима код дернуть можно?

код, выдернул в безопасном режиме:
06B9-1E63

Последний раз редактировалось Nutrinos; 15.08.2013 в 08:50.
Nutrinos вне форума   Ответить с цитированием
Старый 15.08.2013, 08:52   #175
Форумчанин
Курсант
 

Регистрация: 30.07.2013
Сообщений: 54
Вы сказали Спасибо: 4
Поблагодарили 69 раз(а) в 43 сообщениях
Fireleo пока неопределено; 0%Fireleo пока неопределено, 0%Fireleo пока неопределено, 0%
Очки: 324, Уровень: 6 Очки: 324, Уровень: 6 Очки: 324, Уровень: 6
Опыт: 48% Опыт: 48% Опыт: 48%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Да, вполне. Главное запустите на зараженной системе. А файлы ваши отлично дешифруются и проходят проверку на целостность.
Fireleo вне форума   Ответить с цитированием
Этот пользователь сказал Спасибо Fireleo за это полезное сообщение:
GloryCedar (14.11.2013)
Старый 15.08.2013, 09:20   #176
Форумчанин
Курсант
 

Регистрация: 30.07.2013
Сообщений: 54
Вы сказали Спасибо: 4
Поблагодарили 69 раз(а) в 43 сообщениях
Fireleo пока неопределено; 0%Fireleo пока неопределено, 0%Fireleo пока неопределено, 0%
Очки: 324, Уровень: 6 Очки: 324, Уровень: 6 Очки: 324, Уровень: 6
Опыт: 48% Опыт: 48% Опыт: 48%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Дописал таки. Добавил возможность автоматического определения ключа (будет работать только если запустить под системой, что была заражена) + исправил разные недочеты, вроде подвисания, "не отпускания" файлов и т.д.

GetKey.exe - эта программка позволит получить вам ключ для дешифровки, в случае если вы скопировали файлы на другой ПК. Ключ необходимо вставить в соответствующее поле дешифратора и не устанавливать галочку "подобрать ключ".
Внимание! - для получения верного ключа, GetKey.exe необходимо запустить на той же системе где и произошла шифровка файлов, допустим запуск при загрузке Windows в безопасном режиме.

P.S. Для A3 будет тоже самое, как только кто-нибудь пришлет либо тело вируса, либо (что лучше) определенный с помощью этой программки ID и хотя бы зашифрованные файлы, в идеале вместе с оригиналами.
Вложения
Тип файла: exe decoder2 - a4.exe (571.5 Кб, 103 просмотров)
Тип файла: exe GetKey(A4).exe (376.0 Кб, 84 просмотров)

Последний раз редактировалось Fireleo; 15.08.2013 в 09:44.
Fireleo вне форума   Ответить с цитированием
Эти 2 пользователя(ей) сказали Спасибо Fireleo за это полезное сообщение:
GloryCedar (14.11.2013), Nutrinos (15.08.2013)
Старый 15.08.2013, 10:51   #177
Новенький
 

Регистрация: 12.08.2013
Сообщений: 4
Вы сказали Спасибо: 1
Поблагодарили 0 раз(а) в 0 сообщениях
Nutrinos пока неопределено; 0%Nutrinos пока неопределено, 0%Nutrinos пока неопределено, 0%
Очки: 16, Уровень: 1 Очки: 16, Уровень: 1 Очки: 16, Уровень: 1
Опыт: 31% Опыт: 31% Опыт: 31%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Респект, Вам.Дешефруются. Кинь в личку номер сотового, закину денег на мобилу, т.к. пиво по инету не отправить))
Nutrinos вне форума   Ответить с цитированием
Старый 16.08.2013, 09:40   #178
Новенький
 

Регистрация: 05.08.2013
Сообщений: 4
Вы сказали Спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Shakiri пока неопределено; 0%Shakiri пока неопределено, 0%Shakiri пока неопределено, 0%
Очки: 37, Уровень: 1 Очки: 37, Уровень: 1 Очки: 37, Уровень: 1
Опыт: 74% Опыт: 74% Опыт: 74%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Banan@blader.... подскажите есть дешифратор вообще в природе?
Shakiri вне форума   Ответить с цитированием
Старый 16.08.2013, 13:57   #179
Новенький
 

Регистрация: 08.08.2013
Сообщений: 1
Вы сказали Спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
gtasatoxic пока неопределено; 0%gtasatoxic пока неопределено, 0%gtasatoxic пока неопределено, 0%
Очки: 18, Уровень: 1 Очки: 18, Уровень: 1 Очки: 18, Уровень: 1
Опыт: 35% Опыт: 35% Опыт: 35%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию Тоже интересует

Цитата:
Сообщение от Shakiri
Banan@blader.... подскажите есть дешифратор вообще в природе?

Меня тоже интересует данный вопрос. Помогите, база 1С закодирована имеет расширение banan@blader.com_IQ58
gtasatoxic вне форума   Ответить с цитированием
Старый 16.08.2013, 15:25   #180
Форумчанин
Курсант
 

Регистрация: 30.07.2013
Сообщений: 54
Вы сказали Спасибо: 4
Поблагодарили 69 раз(а) в 43 сообщениях
Fireleo пока неопределено; 0%Fireleo пока неопределено, 0%Fireleo пока неопределено, 0%
Очки: 324, Уровень: 6 Очки: 324, Уровень: 6 Очки: 324, Уровень: 6
Опыт: 48% Опыт: 48% Опыт: 48%
Активность: 0% Активность: 0% Активность: 0%
По умолчанию

Уже писали же, вот цитата с форума DrWeb:
Цитата:
Расшифровка: Без секретной части ключа, которая есть только у автора трояна или в его утилите для расшифровки - невозможна. Возможно только частичное восстановление JPG и офисных файлов. Ни для одного из вариантов полноценной расшифровки пока нет.

Криптография: Основная проблема в том, что используется RSA. Для тех, кто считает что это просто, что мы должны расшифровывать это за 3 дня - предлагаю разложить на простые множители число 70454685561089372091240211080167978531372245100332 91735402711303430593
17666008761255670231493342314109825103211047748203 80185353487673812477
67402601339993133294836346986225534587216545034085 32977789310911094074140229132163444279940996038117
Задача по расшифровке данных сводится именно к разложению подобных чисел на множители.

Fireleo вне форума   Ответить с цитированием
Этот пользователь сказал Спасибо Fireleo за это полезное сообщение:
GloryCedar (14.11.2013)
Ответ

Метки
.barbitariat, .vault, decr03@mail.ru, rdp, sos на мыло, te94decrypt.exe, trojan.encoder.94, vault, zubagugu@aol.com, бабосы, взлом, вирус, восстановить, дешифратор, доброго время суток, заблокированы, кокосы, новость, пароль, повреждены, салют буржуа, файловоз, файлы, шифр, шифрователь


Здесь присутствуют: 2 (пользователей: 0 , гостей: 2)
 
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход


Часовой пояс GMT +3, время: 01:17.

Форум города Пущино: Наш Форум

Форум о жителях города Пущино пущинцах Московской области.

Внимание!Администрация сайта не несет ответственности за сообщения и материалы, оставленные посетителями форума.

Вся информация предоставлена в ознакомительных целях.

Внимание! Все файлы на сервере проверены Антивирусом Касперского.




Все права защищены © 2024 Форум города Пущино

Яндекс цитирования Яндекс.Метрика


Время генерации страницы 0.28264 секунды с 18 запросами