• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Скрипт по почте или снова о шифровальщиках

fetbl4, ответ на ваш вопрос в шапке специально выделен жирным и красным цветом. Единственный шанс если вам повезёт и у вас ранняя версия, то тут же в теме указаны утилиты которыми можно попытаться расшифровать. Пробовать надо обязательно на копии зашифрованных файлов.

Единственное, что я вижу выделенное красным цветом - эта фраза: (с длинным ключом, что делает нерациональным по временным меркам простой подбор ключа для дешифровки). Мне, к сожалению, эта фраза не говорит о том, как можно попробовать исправить документы. Скачать эту самую утилиту GnuPg? Найти ключ? Запустить дешифратор? или что? Не ругайтесь. Я вообще половину слов, написанных в теме не понимаю.)
 
ответ в этой фразе. Если слово нерационально для вас не понятно, то его можно заменить на невозможно подобрать ключ за разумное время.
это как раз чуть ли не единственное слово, которое мне понятно. мне не ясно где брать ключ, что за ключ, куда и как его применять и многое другое.
 
мне не ясно где брать ключ
ключ есть только у злоумышленников. Его можно либо купить и таким образом спонсировать дальнейшее развитие их бизнеса, либо писать заявление в милицию, тогда возможно ключ будет изъят у них в результате обыска. Подробней читайте в теме: Мой компьютер заражен вирусом, я хочу обратиться в полицию.

PS. правда оговорюсь, что для ранних модификаций шифровальщика была утечка этих приватных ключей (думаю, что эта утечка авторами трояна была сделана сознательно). Поэтому
если вам повезёт и у вас ранняя версия, то тут же в теме указаны утилиты которыми можно попытаться расшифровать. Пробовать надо обязательно на копии зашифрованных файлов.
 
это как раз чуть ли не единственное слово, которое мне понятно. мне не ясно где брать ключ, что за ключ, куда и как его применять и многое другое.
Какое расширение у зашифрованных файлов?
 
fetbl4, если версия шифратора от августа месяца, то без выкупной части ключа не обойтись, а если первая самая версия, то могут помочь в техподдержке DrWeb.
 
fetbl4, если версия шифратора от августа месяца, то без выкупной части ключа не обойтись, а если первая самая версия, то могут помочь в техподдержке DrWeb.
и, надеюсь, последний вопрос) как узнать версию шифратора)
 
и, надеюсь, последний вопрос) как узнать версию шифратора)
Нужен файл KEY.PRIVATE по id ключа можно определить версию. Если id ключа F05CF9EE/3ED78E85, то шансов нет, а если F107EA9F/E578490A, то дешифровка имеется у DrWeb. Требуемое ПО: gpg4win. Как определить id ключа в GnuPG ищите самостоятельно в сети Интернет.
 
Нужен файл KEY.PRIVATE по id ключа можно определить версию. Если id ключа F05CF9EE/3ED78E85, то шансов нет, а если F107EA9F/E578490A, то дешифровка имеется у DrWeb. Требуемое ПО: gpg4win. Как определить id ключа в GnuPG ищите самостоятельно в сети Интернет.
Спасибо за помощь. Не знаю почему, но я не нашел файл KEY.PRIVATE. Может я его удалил. Так что все мои вопросы были впустую)
 
Спасибо за помощь. Не знаю почему, но я не нашел файл KEY.PRIVATE. Может я его удалил. Так что все мои вопросы были впустую)
Без этого файла и автор этого шифратора файлы не сможет восстановить т.к. в нем содержится код на расшифровку ваших файлов.
 
на мой косой взгляд волна этого семейства (js->bat->легальная утиль шифрования) сошла на нет. авторы на что-то новое перешли? почему? ведь тулза никем не детектилась из антивирусов - криптуй все на компе не хочу. Достаточно переделывать каждый раз батники, а на метаморфный криптор для таких бат-файлов нужно потратить буквально пару вечеров... странное дело. Еще на мой взгляд странно, что аверы не стали хотя бы как not-a-virus детектить пгп-шифратор. Кстати, js имхо обычно ходили не обфусцированные - код глазами читать вполне можно было. Просто код чуть мутировал от версии к версии, чтоб детект отваливался.
 
Этот "сход на нет", как показывает время - лишь затишье перед бурей.
Впереди новогодние праздники, за пару месяцев до которых начинается "мировая спам-рассылка".
 
Ждите новую вариацию (переделаны предыдущие скрипты). Сегодня ночью (по мск времени) была по российским конторам снова сделана рассылка (причем очень жирная рассылка). Вот файл:
https://www.virustotal.com/ru/file/...9c0c175c3138d9bd44c59ec47f1e93b1ac8/analysis/
Угроза типично российская - бодаются с ней и реально за ней следят тоже только российские аверы (на момент моей старой заливки ранним утром детекта китайского недоавера еще не было).

В нашу контору пришел в архиве, но женщины обученные, сразу мне дали файлик. Открываю его, а там: ба, знакомые все лица, Маня!
 
Последнее редактирование:
Пошла новая волна. Новая модификация этого шифратора ставит расширение .vault
На почту приходит zip архив, в котором находится JS скрипт, который при запуске подгружает все необходимое для шифрования файлов.

Проверка JS скрипта: https://www.virustotal.com/ru/file/...1bdd596f82df3c2aee1799f2/analysis/1423762760/




 
Волна пока тестовая. Был разослан один файл по целевой базе по Российским конторам. Те ли авторы или просто кто-то спер их концепцию - лично мне пока непонятно. Но суть такая же. Код чуть изменен, детекты антивирусов слетели.
Будет ли дальше как осенью - поживем увидим.

Из отличий по сравнению с осенней волной:
1. Комментариями в сам скрипт сунули инфу о том, что файл проверен avg
2. Теперь все на английском языке

Потому подозреваю, что авторы собираются расширять географию - достали видно mail базу забугорных организаций.
 
Последнее редактирование:
Рассылка продолжается. Пока ситуация такова:
1. Продолжается окучивание Русскоговорящего рынка
2. Технологическая схема прежняя (js, качающий батник и ехе)
3. В комментах кода js продолжают жечь - теперь там пишут, что проверено каспером и все чисто
4. Начали использовать новый пейлоад - прут пароли от браузеров и скриптом их аплодят на свой гейт
5. Хоть как-то это скриптовое хозяйство детектят только наши совестливые антивирусы (Каспер, ДрВеб, Агнитум). Они начинают детектить не только через сутки после рассылки, но иногда даже детектят и свежачок. Доп.файлы переделываются авторами хуже и реже, поэтому детекты там у антивирусов тоже более уверенные.
 
Назад
Сверху Снизу