файлы зашифрованы с расширением *.paycrypt / *.keybtc@gmail_com , bat encoder / GnuPG

RSS
За прошлую ночь зашифровались файлы на локальной машине и сетевом хранилище.
Письмо злоумышленников, ключ и декодер во вложении.
Просьба помочь с расшифровкой
---------
если у вас сохранились зашифрованные файлы *.paycrypt@gmail_com в период где то 1-30 июня 2014 года, пришлите на форум (или в почту safety@chklst.ru)
несколько зашифрованных файлов и файл KEY.PRIVATE (он важен для восстановления ключа)
есть возможность сейчас восстановить ключ и расшифровать файлы.
Изменено: Валентин - 26.09.2017 05:04:55

Ответы

Вирус зашифровал файлы.
Пришлось связываться с paycrypt@gmail.com, они требуют key.private которого нет на компьютере и отправляют к вам для восстановления.
Как его можно восстановить?
Вы являетесь коммерческим пользователем ESET?
ESET Technical Support
Да естественно.
поищите на диске эти ключи:

Цитата
"%temp%\sdelete.exe" -accepteula -p 4 -q "%temp%\pubring.gpg"
"%temp%\sdelete.exe" -accepteula -p 4 -q "%appdata%\gnupg\pubring.gpg"
"%temp%\sdelete.exe" -accepteula -p 10 -q "%temp%\secring.gpg"
echo paycrypt>"%temp%\secring.gpg"
echo %line1%>"%temp%\secring.gpg"
echo %line2%>"%temp%\secring.gpg"
del /f /q "%temp%\secring.gpg"
RENAME "%temp%\secring.gpg.gpg" KEY.PRIVATE
set line4=xpUP46l432Qu7Lr
md "%temp%\PRIVATE"
copy /y "%temp%\KEY.PRIVATE" "%appdata%\KEY.PRIVATE"
copy /y "%temp%\KEY.PRIVATE" "%temp%\PRIVATE\KEY%RANDOM%.PRIVATE"
есть
"%temp%\pubring.gpg"
"%appdata%\gnupg\pubring.gpg"

у secring.gpg размер 0
без KEY.PRIVATE в котором "спрятан" secring.gpg врдли получится расшифровать файлы.
а как его восстановить?
поищите среди удаленных файлов, возможно в корне дисков

Цитата
copy /y "%temp%\KEY.PRIVATE" "C:\KEY.PRIVATE"
copy /y "%temp%\KEY.PRIVATE" "D:\KEY.PRIVATE"
copy /y "%temp%\KEY.PRIVATE" "%USERPROFILE%\Desktop\KEY.PRIVATE"
copy /y "%temp%\KEY.PRIVATE" "%appdata%\Desktop\KEY.PRIVATE"
copy /y "%temp%\UNIQUE.PRIVATE" "C:\UNIQUE.PRIVATE"
copy /y "%temp%\UNIQUE.PRIVATE" "D:\UNIQUE.PRIVATE"
copy /y "%temp%\UNIQUE.PRIVATE" "%USERPROFILE%\Desktop\UNIQUE.PRIVATE"
copy /y "%temp%\UNIQUE.PRIVATE" "%appdata%\Desktop\UNIQUE.PRIVATE"
есть UNIQUE.PRIVATE
Роман Кильдюшкин, для попытки подбора дешифратора отправьте запрос в техподдержку: support@esetnod32.ru
ESET Technical Support
Читают тему (гостей: 1)