Внимание! Сервисы-посредники по расшифровке файлов.

[mike 1]

Мошенники.

Участвуют в мошеннической схеме по предоставлению расшифровки файлов, зашифрованных Trojan.Encoder

На договорной основе (со скидками) с распространителями.

Известные сайты мошенников:

1. httр://cyberkeeper.ru/ru/antivirus/vault-rashifrovka.html
2. httр://spbcomphelp.ru/virus-shifrator-deshifrofka.html
3. www.dr-shifro.ru (англ)
4. https://pkmaster.by/uslugi/shifro

Известные email:

1. Kuchynskiy@gmail.com (форум)
2. kochenkov.mikhail@mail.ru (Вирус зашифровал файлы реальное лекарство)

Пользователи на форуме

Если перейти на их сайте на вкладку "О нас", то можно увидеть, что свидетельство на оказание услуг компьютерной помощи выдано совершенно на другую организацию, которая никакого отношения к указанным выше сайтам не имеет.

Отзыв: Ещё один коспьютер с зашифрованными файлами .vault - Kaspersky Lab Forum

 

[regist]

просьба перед публикацией ссылок на подозрительные ресурсы, либо их деактировать например заменив http:// на hттp://, либо оформлять тегами CODE либо Plain.
Спасибо, за понимание.

 

[Шинн]

Писал запросы в несколько подобных шараш-монтаж (времонте812 в т.ч.), схема у них одна - присылайте зашифрованный один (либо несколько) файл, мы пришлем дешефратор ... но у меня сомнения при таком подходе - разве технически можно только по одному файлу, удаленно, без диагностики "написать программу", которая и систему восстановит и вредное ПО удалит и файлы расшифрует... одна таблетка от всех бед, чудеса просто! И ни один из них не назвал стоимость дешевле, чем сам этот "шифровальщик"... тоже наводит на мысли...

 

[regist]

Шинн, так тут и в соседней теме vremonte812.ru
Давно пояснили структуру их работы. Этот один файл, который они у вас просят они пересылают автору шифровальщика. У него разумеется есть и программы и ключи для расшифровки ваших файлов, потом добавляют свою наценку за посредничество - отсюда и цена выше.
+ глянул вашу тему по расшифровке. В вашем случае без приватных ключей, которые есть только у автора шифровальщика никто расшифровать не сможет. Правда есть ещё надежда Мой компьютер заражен вирусом, я хочу обратиться в полицию (для жителей России)
Тем более тут на форуме есть уже пара тем, где реально это помогло. То есть арестовали авторов трояна, а потом сделали бесплатную расшифровку благодаря изъятым у него ключам.

 

[regist]

Кстати добавлю почту одного из этих посредников. Внимание! Не стоит писать на эту почту! Это Аферисты. 89222653111@mail.ru. Почту указываю тут только для того чтобы предупредить о разводе. По имеющимся данным владелец этой почты живёт в г.Тюмень и торгует машинами, видно решил ещё подзаработать на чужом горе.

 

[mike 1]

Итак, давненько я за этими посредниками не наблюдал, но сегодня узнал от одного пользователя, что на этом сайте httр://ithcentr.ru/rasshifrovka-fajlov.html предлагают воспользоваться очень интересной утилитой, которая составляет отчет и отсылает его им. И все бы ничего, но зашифрованные файлы повторно шифруются этой утилитой.

​

Я заполнил все данные и запустил сканирование. По окончанию проверки к тестовым файлам, к которым я дописал расширение DA_VINCI_CODE перестали читаться (т.е. я у заведомо не зашифрованных файлов попытался убрать расширение DA_VINCI_CODE).

[ Changes to filesystem ]
   * Modifies file C:\Documents and Settings\Администратор\Рабочий стол\файлы\_DSC9438.JPG.DA_VINCI_CODE
     File length: 150105 bytes
   * Modifies file C:\Documents and Settings\Администратор\Рабочий стол\файлы\_DSC9439.JPG.DA_VINCI_CODE
     File length: 5021988 bytes
   * Modifies file C:\Documents and Settings\Администратор\Рабочий стол\файлы\_DSC9485.JPG.DA_VINCI_CODE

Идем дальше: чтобы расшифровать второй слой нужно нажать на кнопку (с) в программе, но при нажатии на нее мы видим следующее:

Нас просят ввести пароль, который мы не знаем. Теперь чтобы снять второй слой шифровки, нужно обращаться к этим посредникам, которые с радостью за это возьмут деньги.

Часть данных отсылается сюда: httр://proservice.net23.net/EST/

Будьте осторожны!

 

[akok]

Проверил ссылки в шапке и удалил мертвые ссылки, добавил свежего посредника.