Опасный вирус в локалке шифрует файлы

[AndersonGH]

Цитата: Сообщение от mrFiX Отправил ссылку в личку

Можно мне тоже ссылку, попробовать расщифровать свои файлы..

[mrFiX]

Про файлы зараженные .ZERO@DBZMAIL.COM_IQxxx

на форуме Касперского появилось сообщение:
> "Пиратский" шифровальщик: симбиоз с RSA
http://forum.kaspersky.com/index.php?showtopic=270612

Вывод достаточно печальный:

Цитата: Вывод: без оригинального дешифратора расшифровать невозможно (все сложности из-за этапа 2, поскольку ключи шифрования и дешифровки разные).

Еще не все потеряно. Последние известия от drWeb:

Цитата: С 252-м была аналогичная ситуация, но наша тулза за 20 часов подобрала ключ. Я бы воздержался от комментариев, пока лично не посмотрю что там и как.

[mrFiX]

Кстати информация для тех у кого файлы поражены этим вирусом.barbitariat

На файлы с расширением.barbitariat в настройках Windows устанавливается ассоциация на программу обработчик (находящаяся скорей всего в каталоге Temp) и если пользователь по случайности попробует открыть или запустить такой файл по клавише Enter или двойным щелчком мыши - то автоматически запустится еще одна копия вируса и продолжит шифровать файлы. Так что не выличив компьютер от тела вируса не надо пытаться запускать такие файлы двойным щелчком мыши или кнопкой Enter.

Файлы в проводнике Windows указываются типа Crypted - это признак наличия ассоциации на программу-вирус

[mrFiX]

Fezoo выложил свою утилиту для расшифровки файлов поврежденных вирусом .barbitariat на общий доступ
http://forum.kaspersky.com/index.php...st=20&start=20
Утилит работает хорошо и быстро. В отличии от утилиты drWeb позволяет выбрать конкретный файл или каталог
Рекомендую

Все благодарности Fezoo

[Nutrinos]

Добрый день, попался сестренке такой вирус расширение ZUBAGUGU@AOL.COM_A4
пробовал расшифровать прогой выше не помогло видать ключ другой помогите плиз сестренка вспышку промаргала и все фото и рабочая документаци зашифрована, копий резервных естественно нет, нашел на флешке оригиналы файлов, говорит должны совпадать, даю оригинал и зашифрованные файлы Файлы.zip

[Fireleo]

Цитата: Сообщение от Nutrinos Добрый день, попался сестренке такой вирус расширение ZUBAGUGU@AOL.COM_A4 пробовал расшифровать прогой выше не помогло видать ключ другой помогите плиз сестренка вспышку промаргала и все фото и рабочая документаци зашифрована, копий резервных естественно нет, нашел на флешке оригиналы файлов, говорит должны совпадать, даю оригинал и зашифрованные файлы Вложение 100191

Запустите программу на зараженном компьютере, нажмите кнопку получить и сообщите результат (серийный номер системного диска). Если все совпадет, доделаю свой декодер до универсального состояния.

И, если есть, пришлите какой-нибудь зашифрованный архив.

[Nutrinos]

Цитата: Сообщение от Fireleo серийный номер системного диска:

524C-CE23

Нашел пару зиповских архива Arhivi.zip

[Fireleo]

Цитата: Сообщение от Nutrinos 524C-CE23 Нашел пару зиповских архива Вложение 100205

Будьте добры, повторите процедуру. И обязательно на том компьютере, на котором зашифровались файлы. Ключ для вашего случая, я нашел, но хотелось бы автоматизировать процесс.

[Nutrinos]

простите просмотрел что на зараженном компе надо было, просто я не стал дергать тот комп дабы там все не зашифровалось, из под лайв сд файлы дергал. из под безопасного режима код дернуть можно?

код, выдернул в безопасном режиме:
06B9-1E63

[Fireleo]

Да, вполне. Главное запустите на зараженной системе. А файлы ваши отлично дешифруются и проходят проверку на целостность.

[Fireleo]

Дописал таки. Добавил возможность автоматического определения ключа (будет работать только если запустить под системой, что была заражена) + исправил разные недочеты, вроде подвисания, "не отпускания" файлов и т.д.

GetKey.exe - эта программка позволит получить вам ключ для дешифровки, в случае если вы скопировали файлы на другой ПК. Ключ необходимо вставить в соответствующее поле дешифратора и не устанавливать галочку "подобрать ключ".
Внимание! - для получения верного ключа, GetKey.exe необходимо запустить на той же системе где и произошла шифровка файлов, допустим запуск при загрузке Windows в безопасном режиме.

P.S. Для A3 будет тоже самое, как только кто-нибудь пришлет либо тело вируса, либо (что лучше) определенный с помощью этой программки ID и хотя бы зашифрованные файлы, в идеале вместе с оригиналами.

[Nutrinos]

Респект, Вам.Дешефруются. Кинь в личку номер сотового, закину денег на мобилу, т.к. пиво по инету не отправить))

[Shakiri]

Banan@blader.... подскажите есть дешифратор вообще в природе?

[gtasatoxic]

Цитата: Сообщение от Shakiri Banan@blader.... подскажите есть дешифратор вообще в природе?

Меня тоже интересует данный вопрос. Помогите, база 1С закодирована имеет расширение banan@blader.com_IQ58

[Fireleo]

Уже писали же, вот цитата с форума DrWeb:

Цитата: Расшифровка: Без секретной части ключа, которая есть только у автора трояна или в его утилите для расшифровки - невозможна. Возможно только частичное восстановление JPG и офисных файлов. Ни для одного из вариантов полноценной расшифровки пока нет. Криптография: Основная проблема в том, что используется RSA. Для тех, кто считает что это просто, что мы должны расшифровывать это за 3 дня - предлагаю разложить на простые множители число 70454685561089372091240211080167978531372245100332 91735402711303430593 17666008761255670231493342314109825103211047748203 80185353487673812477 67402601339993133294836346986225534587216545034085 32977789310911094074140229132163444279940996038117 Задача по расшифровке данных сводится именно к разложению подобных чисел на множители.