fetbl4

Новый пользователь
Сообщения
6
Реакции
0
fetbl4, ответ на ваш вопрос в шапке специально выделен жирным и красным цветом. Единственный шанс если вам повезёт и у вас ранняя версия, то тут же в теме указаны утилиты которыми можно попытаться расшифровать. Пробовать надо обязательно на копии зашифрованных файлов.

Единственное, что я вижу выделенное красным цветом - эта фраза: (с длинным ключом, что делает нерациональным по временным меркам простой подбор ключа для дешифровки). Мне, к сожалению, эта фраза не говорит о том, как можно попробовать исправить документы. Скачать эту самую утилиту GnuPg? Найти ключ? Запустить дешифратор? или что? Не ругайтесь. Я вообще половину слов, написанных в теме не понимаю.)
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,199
Реакции
6,372

fetbl4

Новый пользователь
Сообщения
6
Реакции
0
ответ в этой фразе. Если слово нерационально для вас не понятно, то его можно заменить на невозможно подобрать ключ за разумное время.
это как раз чуть ли не единственное слово, которое мне понятно. мне не ясно где брать ключ, что за ключ, куда и как его применять и многое другое.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,199
Реакции
6,372
мне не ясно где брать ключ
ключ есть только у злоумышленников. Его можно либо купить и таким образом спонсировать дальнейшее развитие их бизнеса, либо писать заявление в милицию, тогда возможно ключ будет изъят у них в результате обыска. Подробней читайте в теме: Мой компьютер заражен вирусом, я хочу обратиться в полицию.

PS. правда оговорюсь, что для ранних модификаций шифровальщика была утечка этих приватных ключей (думаю, что эта утечка авторами трояна была сделана сознательно). Поэтому
если вам повезёт и у вас ранняя версия, то тут же в теме указаны утилиты которыми можно попытаться расшифровать. Пробовать надо обязательно на копии зашифрованных файлов.
 

mike 1

Аксакал
Сообщения
2,435
Реакции
940
это как раз чуть ли не единственное слово, которое мне понятно. мне не ясно где брать ключ, что за ключ, куда и как его применять и многое другое.
Какое расширение у зашифрованных файлов?
 

mike 1

Аксакал
Сообщения
2,435
Реакции
940
fetbl4, если версия шифратора от августа месяца, то без выкупной части ключа не обойтись, а если первая самая версия, то могут помочь в техподдержке DrWeb.
 

fetbl4

Новый пользователь
Сообщения
6
Реакции
0
fetbl4, если версия шифратора от августа месяца, то без выкупной части ключа не обойтись, а если первая самая версия, то могут помочь в техподдержке DrWeb.
и, надеюсь, последний вопрос) как узнать версию шифратора)
 

mike 1

Аксакал
Сообщения
2,435
Реакции
940
и, надеюсь, последний вопрос) как узнать версию шифратора)
Нужен файл KEY.PRIVATE по id ключа можно определить версию. Если id ключа F05CF9EE/3ED78E85, то шансов нет, а если F107EA9F/E578490A, то дешифровка имеется у DrWeb. Требуемое ПО: gpg4win. Как определить id ключа в GnuPG ищите самостоятельно в сети Интернет.
 

fetbl4

Новый пользователь
Сообщения
6
Реакции
0
Нужен файл KEY.PRIVATE по id ключа можно определить версию. Если id ключа F05CF9EE/3ED78E85, то шансов нет, а если F107EA9F/E578490A, то дешифровка имеется у DrWeb. Требуемое ПО: gpg4win. Как определить id ключа в GnuPG ищите самостоятельно в сети Интернет.
Спасибо за помощь. Не знаю почему, но я не нашел файл KEY.PRIVATE. Может я его удалил. Так что все мои вопросы были впустую)
 

mike 1

Аксакал
Сообщения
2,435
Реакции
940
Спасибо за помощь. Не знаю почему, но я не нашел файл KEY.PRIVATE. Может я его удалил. Так что все мои вопросы были впустую)
Без этого файла и автор этого шифратора файлы не сможет восстановить т.к. в нем содержится код на расшифровку ваших файлов.
 

wcloser

Активный пользователь
Сообщения
50
Реакции
37
на мой косой взгляд волна этого семейства (js->bat->легальная утиль шифрования) сошла на нет. авторы на что-то новое перешли? почему? ведь тулза никем не детектилась из антивирусов - криптуй все на компе не хочу. Достаточно переделывать каждый раз батники, а на метаморфный криптор для таких бат-файлов нужно потратить буквально пару вечеров... странное дело. Еще на мой взгляд странно, что аверы не стали хотя бы как not-a-virus детектить пгп-шифратор. Кстати, js имхо обычно ходили не обфусцированные - код глазами читать вполне можно было. Просто код чуть мутировал от версии к версии, чтоб детект отваливался.
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
7,048
Этот "сход на нет", как показывает время - лишь затишье перед бурей.
Впереди новогодние праздники, за пару месяцев до которых начинается "мировая спам-рассылка".
 

petr-ru

Активный пользователь
Сообщения
62
Реакции
27
Ждите новую вариацию (переделаны предыдущие скрипты). Сегодня ночью (по мск времени) была по российским конторам снова сделана рассылка (причем очень жирная рассылка). Вот файл:
https://www.virustotal.com/ru/file/...9c0c175c3138d9bd44c59ec47f1e93b1ac8/analysis/
Угроза типично российская - бодаются с ней и реально за ней следят тоже только российские аверы (на момент моей старой заливки ранним утром детекта китайского недоавера еще не было).

В нашу контору пришел в архиве, но женщины обученные, сразу мне дали файлик. Открываю его, а там: ба, знакомые все лица, Маня!
 
Последнее редактирование:

mike 1

Аксакал
Сообщения
2,435
Реакции
940
Пошла новая волна. Новая модификация этого шифратора ставит расширение .vault
На почту приходит zip архив, в котором находится JS скрипт, который при запуске подгружает все необходимое для шифрования файлов.

Проверка JS скрипта: https://www.virustotal.com/ru/file/...1bdd596f82df3c2aee1799f2/analysis/1423762760/




 

petr-ru

Активный пользователь
Сообщения
62
Реакции
27
Волна пока тестовая. Был разослан один файл по целевой базе по Российским конторам. Те ли авторы или просто кто-то спер их концепцию - лично мне пока непонятно. Но суть такая же. Код чуть изменен, детекты антивирусов слетели.
Будет ли дальше как осенью - поживем увидим.

Из отличий по сравнению с осенней волной:
1. Комментариями в сам скрипт сунули инфу о том, что файл проверен avg
2. Теперь все на английском языке

Потому подозреваю, что авторы собираются расширять географию - достали видно mail базу забугорных организаций.
 
Последнее редактирование:

petr-ru

Активный пользователь
Сообщения
62
Реакции
27
Рассылка продолжается. Пока ситуация такова:
1. Продолжается окучивание Русскоговорящего рынка
2. Технологическая схема прежняя (js, качающий батник и ехе)
3. В комментах кода js продолжают жечь - теперь там пишут, что проверено каспером и все чисто
4. Начали использовать новый пейлоад - прут пароли от браузеров и скриптом их аплодят на свой гейт
5. Хоть как-то это скриптовое хозяйство детектят только наши совестливые антивирусы (Каспер, ДрВеб, Агнитум). Они начинают детектить не только через сутки после рассылки, но иногда даже детектят и свежачок. Доп.файлы переделываются авторами хуже и реже, поэтому детекты там у антивирусов тоже более уверенные.
 
Сверху Снизу