• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Файлы зашифрованы (расширение .ARRESTED)

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,859
Реакции
2,575
Баллы
593
С 29.06.2013 на форумах по информационной безопасности зарегистрирован всплеск обращений с очередным шифровальщиком, после работы которого файлы получают дополнительное расширение .ARRESTED

При этом на компьютере создается текстовый файл следующего содержания:
Здравствуйте!
Ваш компьютер был атакован опаснейшим вирусом!
Вся Ваша информация, включая базы данных, документы, бэкапы, и прочие файлы была зашифрована при помощи криптостойких алгоритмов.
Все зашифрованные файлы имеют расширение .ARRESTED
Восстановить файлы можно только при помощи дешифратора и пароля, который, в свою очередь, знаем только мы.
Подобрать его невозможно. Переустановка ОС ничего не изменит.
Ни один системный администратор в мире не решит эту проблему не зная пароля.
Ни в коем случае не изменяйте файлы! А если решились, то сделайте резервные копии.
Напишите нам письмо на адрес [noparse]razshifrovkin@live.com[/noparse] (в случае если вам не ответили в течение 12 часов, то продублируйте письмо на почту [noparse]razshifrovkin@tormail.org[/noparse]) для получения дальнейших инструкций.
Мы расшифруем один абсолютно любой файл .ARRESTED для вас бесплатно (кроме баз данных, за которые, собственно, вы нам и платите)
Для этого прикрепите его и файл "ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT"
Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.
Среднее время ответа специалиста 1-12 часов.
К письму прикрепите файл "ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT".
Письма с угрозами ни к чему хорошему вас не приведут.
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!

<><><><><><><><><><><><><><><><><><><><><>
69KpIIAIt42v9U2oLPTtKLyy7CbBUEoE (произвольный буквенно-цифровой набор)
<><><><><><><><><><><><><><><><><><><><><>
Это очередная разновидность шифровальщика Vandev (по классификации Лаборатории Касперского).
Шифровальщик, как и в более ранних версиях, использует алгоритм шифрования Blowfish.
Шифрование происходит следующим образом:
1) на компьютер пользователя попадает бэкдор, который открывает удаленный доступ к компьютеру через RDP
2) злоумышленник в удобное для него время заходит на компьютер, вручную запускает шифрование с произвольным ключом

Вывод: расшифровать файлы, не зная ключ, НЕВОЗМОЖНО. Если информация очень ценная, остается только один вариант - платить злоумышленнику, как бы это не способствовало его "бизнесу"
Как правило, подобные "бизнесмены" просят прислать зашифрованный файл, чтобы пользователь мог убедиться в наличии дешифратора, а после оплаты присылают и всю информацию для расшифровки (вместе с дешифратором)

P.S. Специалисты из вирлабов рекомендуют обращаться сразу в полицию
 
Последнее редактирование:

machito

Команда форума
Супер-Модератор
Сообщения
2,401
Реакции
2,220
Баллы
583
Вывод: расшифровать файлы, не зная ключ, НЕВОЗМОЖНО. Если информация очень ценная, остается только один вариант - платить злоумышленнику
Снести систему что тоже не поможет?
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,859
Реакции
2,575
Баллы
593
А смысл какой, если файлы так и останутся зашифрованными?
 

machito

Команда форума
Супер-Модератор
Сообщения
2,401
Реакции
2,220
Баллы
583
А смысл какой, если файлы так и останутся зашифрованными?
Не совсем корректно изьяснился, имел ввиду что избавиться от вредоносного ПО снести систему это тоже вариант хоть и крайний?!
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,859
Реакции
2,575
Баллы
593
Шифровальщик запускают вручную, а дальше он прописывает в реестре запись на свое удаление при старте системы
 
Сверху Снизу