Единственное, что я вижу выделенное красным цветом - эта фраза: (с длинным ключом, что делает нерациональным по временным меркам простой подбор ключа для дешифровки). Мне, к сожалению, эта фраза не говорит о том, как можно попробовать исправить документы. Скачать эту самую утилиту GnuPg? Найти ключ? Запустить дешифратор? или что? Не ругайтесь. Я вообще половину слов, написанных в теме не понимаю.)
-
Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
Скрипт по почте или снова о шифровальщиках
- Автор темы thyrex
- Дата начала
-
- Теги
- ransomware vault шифровальщик
Единственное, что я вижу выделенное красным цветом - эта фраза: (с длинным ключом, что делает нерациональным по временным меркам простой подбор ключа для дешифровки). Мне, к сожалению, эта фраза не говорит о том, как можно попробовать исправить документы. Скачать эту самую утилиту GnuPg? Найти ключ? Запустить дешифратор? или что? Не ругайтесь. Я вообще половину слов, написанных в теме не понимаю.)
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
ответ в этой фразе. Если слово нерационально для вас не понятно, то его можно заменить на невозможно подобрать ключ за разумное время.
это как раз чуть ли не единственное слово, которое мне понятно. мне не ясно где брать ключ, что за ключ, куда и как его применять и многое другое.
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
ключ есть только у злоумышленников. Его можно либо купить и таким образом спонсировать дальнейшее развитие их бизнеса, либо писать заявление в милицию, тогда возможно ключ будет изъят у них в результате обыска. Подробней читайте в теме: Мой компьютер заражен вирусом, я хочу обратиться в полицию.
PS. правда оговорюсь, что для ранних модификаций шифровальщика была утечка этих приватных ключей (думаю, что эта утечка авторами трояна была сделана сознательно). Поэтому
mike 1
Ветеран
- Сообщения
- 2,331
- Реакции
- 753
Какое расширение у зашифрованных файлов?
.paycrypt@gmail_com
и, надеюсь, последний вопрос) как узнать версию шифратора)
mike 1
Ветеран
- Сообщения
- 2,331
- Реакции
- 753
Нужен файл KEY.PRIVATE по id ключа можно определить версию. Если id ключа F05CF9EE/3ED78E85, то шансов нет, а если F107EA9F/E578490A, то дешифровка имеется у DrWeb. Требуемое ПО: gpg4win. Как определить id ключа в GnuPG ищите самостоятельно в сети Интернет.
Спасибо за помощь. Не знаю почему, но я не нашел файл KEY.PRIVATE. Может я его удалил. Так что все мои вопросы были впустую)
mike 1
Ветеран
- Сообщения
- 2,331
- Реакции
- 753
Без этого файла и автор этого шифратора файлы не сможет восстановить т.к. в нем содержится код на расшифровку ваших файлов.
на мой косой взгляд волна этого семейства (js->bat->легальная утиль шифрования) сошла на нет. авторы на что-то новое перешли? почему? ведь тулза никем не детектилась из антивирусов - криптуй все на компе не хочу. Достаточно переделывать каждый раз батники, а на метаморфный криптор для таких бат-файлов нужно потратить буквально пару вечеров... странное дело. Еще на мой взгляд странно, что аверы не стали хотя бы как not-a-virus детектить пгп-шифратор. Кстати, js имхо обычно ходили не обфусцированные - код глазами читать вполне можно было. Просто код чуть мутировал от версии к версии, чтоб детект отваливался.
- Сообщения
- 3,885
- Реакции
- 2,432
Судя по сообщениям на форуме DrWeb есть новая вариация
petr-ru
Участник
- Сообщения
- 62
- Реакции
- 27
Ждите новую вариацию (переделаны предыдущие скрипты). Сегодня ночью (по мск времени) была по российским конторам снова сделана рассылка (причем очень жирная рассылка). Вот файл:
https://www.virustotal.com/ru/file/...9c0c175c3138d9bd44c59ec47f1e93b1ac8/analysis/
Угроза типично российская - бодаются с ней и реально за ней следят тоже только российские аверы (на момент моей старой заливки ранним утром детекта китайского недоавера еще не было).
В нашу контору пришел в архиве, но женщины обученные, сразу мне дали файлик. Открываю его, а там: ба, знакомые все лица, Маня!
https://www.virustotal.com/ru/file/...9c0c175c3138d9bd44c59ec47f1e93b1ac8/analysis/
Угроза типично российская - бодаются с ней и реально за ней следят тоже только российские аверы (на момент моей старой заливки ранним утром детекта китайского недоавера еще не было).
В нашу контору пришел в архиве, но женщины обученные, сразу мне дали файлик. Открываю его, а там: ба, знакомые все лица, Маня!
Последнее редактирование:
mike 1
Ветеран
- Сообщения
- 2,331
- Реакции
- 753
Пошла новая волна. Новая модификация этого шифратора ставит расширение .vault
На почту приходит zip архив, в котором находится JS скрипт, который при запуске подгружает все необходимое для шифрования файлов.
Проверка JS скрипта: https://www.virustotal.com/ru/file/...1bdd596f82df3c2aee1799f2/analysis/1423762760/
На почту приходит zip архив, в котором находится JS скрипт, который при запуске подгружает все необходимое для шифрования файлов.
Проверка JS скрипта: https://www.virustotal.com/ru/file/...1bdd596f82df3c2aee1799f2/analysis/1423762760/
petr-ru
Участник
- Сообщения
- 62
- Реакции
- 27
Волна пока тестовая. Был разослан один файл по целевой базе по Российским конторам. Те ли авторы или просто кто-то спер их концепцию - лично мне пока непонятно. Но суть такая же. Код чуть изменен, детекты антивирусов слетели.
Будет ли дальше как осенью - поживем увидим.
Из отличий по сравнению с осенней волной:
1. Комментариями в сам скрипт сунули инфу о том, что файл проверен avg
2. Теперь все на английском языке
Потому подозреваю, что авторы собираются расширять географию - достали видно mail базу забугорных организаций.
Будет ли дальше как осенью - поживем увидим.
Из отличий по сравнению с осенней волной:
1. Комментариями в сам скрипт сунули инфу о том, что файл проверен avg
2. Теперь все на английском языке
Потому подозреваю, что авторы собираются расширять географию - достали видно mail базу забугорных организаций.
Последнее редактирование:
petr-ru
Участник
- Сообщения
- 62
- Реакции
- 27
Рассылка продолжается. Пока ситуация такова:
1. Продолжается окучивание Русскоговорящего рынка
2. Технологическая схема прежняя (js, качающий батник и ехе)
3. В комментах кода js продолжают жечь - теперь там пишут, что проверено каспером и все чисто
4. Начали использовать новый пейлоад - прут пароли от браузеров и скриптом их аплодят на свой гейт
5. Хоть как-то это скриптовое хозяйство детектят только наши совестливые антивирусы (Каспер, ДрВеб, Агнитум). Они начинают детектить не только через сутки после рассылки, но иногда даже детектят и свежачок. Доп.файлы переделываются авторами хуже и реже, поэтому детекты там у антивирусов тоже более уверенные.
1. Продолжается окучивание Русскоговорящего рынка
2. Технологическая схема прежняя (js, качающий батник и ехе)
3. В комментах кода js продолжают жечь - теперь там пишут, что проверено каспером и все чисто
4. Начали использовать новый пейлоад - прут пароли от браузеров и скриптом их аплодят на свой гейт
5. Хоть как-то это скриптовое хозяйство детектят только наши совестливые антивирусы (Каспер, ДрВеб, Агнитум). Они начинают детектить не только через сутки после рассылки, но иногда даже детектят и свежачок. Доп.файлы переделываются авторами хуже и реже, поэтому детекты там у антивирусов тоже более уверенные.
Похожие темы
