Файлы зашифрованы (расширение .ARRESTED)

[thyrex]

С 29.06.2013 на форумах по информационной безопасности зарегистрирован всплеск обращений с очередным шифровальщиком, после работы которого файлы получают дополнительное расширение .ARRESTED

При этом на компьютере создается текстовый файл следующего содержания:

Здравствуйте!
Ваш компьютер был атакован опаснейшим вирусом!
Вся Ваша информация, включая базы данных, документы, бэкапы, и прочие файлы была зашифрована при помощи криптостойких алгоритмов.
Все зашифрованные файлы имеют расширение .ARRESTED
Восстановить файлы можно только при помощи дешифратора и пароля, который, в свою очередь, знаем только мы.
Подобрать его невозможно. Переустановка ОС ничего не изменит.
Ни один системный администратор в мире не решит эту проблему не зная пароля.
Ни в коем случае не изменяйте файлы! А если решились, то сделайте резервные копии.
Напишите нам письмо на адрес [noparse]razshifrovkin@live.com[/noparse] (в случае если вам не ответили в течение 12 часов, то продублируйте письмо на почту [noparse]razshifrovkin@tormail.org[/noparse]) для получения дальнейших инструкций.
Мы расшифруем один абсолютно любой файл .ARRESTED для вас бесплатно (кроме баз данных, за которые, собственно, вы нам и платите)
Для этого прикрепите его и файл "ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT"
Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.
Среднее время ответа специалиста 1-12 часов.
К письму прикрепите файл "ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT".
Письма с угрозами ни к чему хорошему вас не приведут.
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!

<><><><><><><><><><><><><><><><><><><><><>
69KpIIAIt42v9U2oLPTtKLyy7CbBUEoE (произвольный буквенно-цифровой набор)
<><><><><><><><><><><><><><><><><><><><><>

Это очередная разновидность шифровальщика Vandev (по классификации Лаборатории Касперского).
Шифровальщик, как и в более ранних версиях, использует алгоритм шифрования Blowfish.
Шифрование происходит следующим образом:
1) на компьютер пользователя попадает бэкдор, который открывает удаленный доступ к компьютеру через RDP
2) злоумышленник в удобное для него время заходит на компьютер, вручную запускает шифрование с произвольным ключом

Вывод: расшифровать файлы, не зная ключ, НЕВОЗМОЖНО. Если информация очень ценная, остается только один вариант - платить злоумышленнику, как бы это не способствовало его "бизнесу"
Как правило, подобные "бизнесмены" просят прислать зашифрованный файл, чтобы пользователь мог убедиться в наличии дешифратора, а после оплаты присылают и всю информацию для расшифровки (вместе с дешифратором)

P.S. Специалисты из вирлабов рекомендуют обращаться сразу в полицию

 

[machito]

Вывод: расшифровать файлы, не зная ключ, НЕВОЗМОЖНО. Если информация очень ценная, остается только один вариант - платить злоумышленнику

Снести систему что тоже не поможет?

 

[thyrex]

А смысл какой, если файлы так и останутся зашифрованными?

 

[akok]

Снести систему что тоже не поможет?

Файлы это не восстановит. Только бекап, только хардкор.

 

[machito]

А смысл какой, если файлы так и останутся зашифрованными?

Не совсем корректно изьяснился, имел ввиду что избавиться от вредоносного ПО снести систему это тоже вариант хоть и крайний?!

 

[thyrex]

Шифровальщик запускают вручную, а дальше он прописывает в реестре запись на свое удаление при старте системы