Шифровальщик keybtc - как были расшифрованы школьные документы.

Тема в разделе "Борьба с типовыми зловредами", создана пользователем Школа Москва, 24 авг 2014.

Статус темы:
Закрыта.
  1. Школа Москва
    Оффлайн

    Школа Москва Новый пользователь

    Сообщения:
    3
    Симпатии:
    3
    Здравствуйте!

    Пишу от имени одной Московской школы, по понятным причинам номер не указываю.
    Небольшая информация, как создатели keybtc пошли на встречу и для школы бесплатно прислали дешифратор, скриншоты переписки прилагаются.

    Сообщение.

    Недавно мы стали жертвой вируса "keybtc". На одном из компьютеров школы были зашифрованы все документы, связанные с работой школы и прикрепленных детских садов, вся документация. Это расширения doc, docx, xls, xlsx, pdf, и все картинки и фотографии. Это примерно несколько тысяч файлов.

    Произошло это 11 августа, и сразу после этого обнаружили на рабочем столе текстовый файл с инструкцией, что мы стали жертвой вируса и все файлы зашифрованы. В инструкции было описание куда и как перечислить деньги, чтобы получить дешифратор. В конце инструкции была приписка - "Процесс шифрования закончен: 11.08.2014 / 13:55".

    Мы обратились в одну известную антивирусную лабораторию, создали заявку, прислали все файлы и всю информацию, которую они запросили. Через несколько дней пришел ответ, что у них пока нет дешифратора, что в вирусе используется криптостойкий алгоритм шифрования, и чтобы мы следили за их новостями, когда появится ключ.

    Мы уже не знали что делать.

    Решили попробовать написать на емайл, который был указан в инструкции - keybtc@gmail.com
    Отправили два файла ключа, которые тоже появились одновременно с инструкцией, это "KEY.PRIVATE" и "UNIQUE.PRIVATE".
    Судя по описанию, это необходимые файлы для расшифровки документов.

    Текст письма был следующий:
    "Здравствуйте!

    Обращается к Вам школа №***, просим дешифратор, спасибо!
    Все нужные файлы приложили.".

    Ответа сперва не было.
    Решили написать через крипто-систему Bitmessage на их адрес, который был указан в инструкции.

    Мы уже не надеялись на ответ. Буквально через несколько минут от них пришел ответ.

    Переписка была следующая:
    - Мы: Здравствуйте! Обращается к Вам школа №***, просим дешифратор, спасибо!

    - Они: Отправьте заявку с почты.

    - Мы: Писали на keybtc@gmail.com, ответа не было, по инструкции написали сюда. Сейчас еще напишем.

    - Они: Все доказательства прикрепляйте сразу

    (После этого мы еще раз отправили письмо и приложили три зашифрованных документа.)

    - Мы: Спасибо большое! Дешифратор по почте получили, утром запустим на компьютере в школе, отзывы напишем! Спасибо!

    Переписывались с ними ночью. Они пошли нам на встречу и бесплатно прислали дешифратор уже через несколько минут после переписки.

    Пришло два письма, одно с ответом, другое с дешифратором.

    ********************
    Письмо 1:
    Здравствуйте. Был выполнен анализ Вашего компьютера (id: 28BC91F0)

    Дата шифрования: 2014-08-11
    Количество файлов: 7455
    Сгенерированный счет: 1AbaXwJn67sgpuQG5Dk6TnF6ovBgj97SWc
    Стоимость: 0.0000000 BTC
    ********************

    Письмо 2:
    Во вложении находился сам файл дешифратор.
    ********************

    Днем на школьном компьютере запустили дешифратор и через, примерно полчаса, все документы были расшифрованы!

    Скриншоты переписок можно просмотреть здесь:
    http://s019.radikal.ru/i631/1408/3d/64ef6b916f7c.jpg
    http://s020.radikal.ru/i703/1408/ac/3064910538c1.jpg
    http://s017.radikal.ru/i405/1408/36/12483bf4b039.jpg
    http://s017.radikal.ru/i442/1408/96/6d589a37918d.jpg

    Хотим поблагодарить их за то, что они пошли нам на встречу и для школы бесплатно прислали дешифратор.
    Как и обещали, написали отзыв.
    Спасибо!

    --
    С уважением,
    Московская школа №*** (номер по понятным причинам не указываем).
     
    Последнее редактирование модератором: 24 авг 2014
    Kиpилл и Drongo нравится это.
  2. mike 1
    Онлайн

    mike 1 Активный пользователь

    Сообщения:
    2.473
    Симпатии:
    866
    Теперь по всем форумам будете бегать и писать об этом? На форуме ЛК, VirusInfo уже отметились теперь еще и здесь. Это что скрытая реклама о том какие хорошие эти ребята, которые пошифровали ваши файлы?
     
    Max Helper, tzrb и shestale нравится это.
  3. Max Helper
    Оффлайн

    Max Helper Новый пользователь

    Сообщения:
    27
    Симпатии:
    21
  4. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.905
    Симпатии:
    8.222
    mike 1, Прикинь прикол, я об этом только здесь и прочитал. )

    Не думаю что это стокгольмский синдром, я бы сказал что это радость руководства школы за возвращённые документы, а благодарность, ну наверное за то, что авторы вируса не настолько конченые.
     
    Kиpилл нравится это.
  5. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    Это они так грехи свои замаливают..., как "бизнесмены" в 90-е, воровали и в церковь свечку бегали ставить или пожертвования мизерные отправляли))))
     
  6. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.905
    Симпатии:
    8.222
    Та ладно, это ерунда. Школа благодарна. )
     
  7. Школа Москва
    Оффлайн

    Школа Москва Новый пользователь

    Сообщения:
    3
    Симпатии:
    3
    Нет, по всем не будем бегать, как и обещали, написали всего несколько отзывов. И еще просто от школы человеческое спасибо, что были возвращены все документы. Дело в том, что на этом компьютере хранилась вся рабочая документация по работе школы.

    Возможно наши сообщения пригодится какому-нибудь еще образоватеьному учреждению, или детскому садику, если они тоже столкнулись с таким шифровальщиком, и возможно им тоже пойдут на встречу.
     
    Kиpилл нравится это.
  8. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    Вот именно на ресурсах этих образовательных учреждений и нужно выложить данную информацию, имхо, так было бы логичнее ;)
     
    Phoenix и Drongo нравится это.
  9. Max Helper
    Оффлайн

    Max Helper Новый пользователь

    Сообщения:
    27
    Симпатии:
    21
    Обещали кому?
     
  10. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.475
    Симпатии:
    3.100
    Известно кому - автором шифровальщика, вот, мол, какие добряки
     
  11. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Мда, прямо робингудство. :Biggrin:
    Грабят "богатых", помогают "бедным".
     
  12. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.856
    Симпатии:
    1.841
    Service Unavailable
    HTTP Error 503. The service is unavailable.
    Да, логично разместить на временных ресурсах. Нет бы в яндексе личном или мейле.. Наверное палевно, да ?
    Уберите наверное.. (хотя пока доступно)
    У нас удалили.
     
    Последнее редактирование: 25 авг 2014
  13. Школа Москва
    Оффлайн

    Школа Москва Новый пользователь

    Сообщения:
    3
    Симпатии:
    3
    В письме с дешифратором была просьба написать отзывы, что мы и сделали.
     
  14. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.856
    Симпатии:
    1.841
    Где, у себя на сайте ? Или на сайте почты, через которую заразились шифровальщиком ? Вы можете толково объяснить - почему на ресурсах по защите от вирусов ? Мне это не понятно.
    (только сначала себя убедите в том, что скажете, а то ведь получается так - вам постарались помочь, но "отблагодарить" вы решили других, причём там, где не помогли - смекаете ?).
     
    Последнее редактирование: 26 авг 2014
  15. Охотник
    Оффлайн

    Охотник Активный пользователь

    Сообщения:
    282
    Симпатии:
    345
    Вот мне интересно, если другим также написать, у меня есть одна знакомая, у которой также файлы пострадали, то проявят сочуствие?
     
  16. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.228
    Симпатии:
    4.980
    Талант драматурга проявить если)
     
  17. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.905
    Симпатии:
    8.222
    Я тут подумал, всё же Саня прав, это личная история конкретной школы, вот на сайте ЭТОЙ школы и нужно написать все спасибы вирусописателям за помощь.
    Всё же тему нужно удалить. И да, в конечном итоге не гоже "спонсировать" бесплатной доской благодарности тех, против кого боремся. Помогли школе - хорошо, но публикуйте на образовательных ресурсах ибо:
    1. Это опыт, печальный или не очень - это уже второстепенный вопрос.
    2. Естественно и логично предположить что руководство школ заглядывает на сайты соседних школ, вот этот опыт им бы и пригодился.
    3. У нас компромиссов нет, а посему это сообщение можно рассматривать как скрытую рекламу вирусописателей.
     
    ScriptMakeR, Dragokas, Сашка и 4 другим нравится это.
  18. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Тему я пока закрываю. Удалять или не удалять, вопрос.
     
Статус темы:
Закрыта.

Поделиться этой страницей