зашифровано с расширением .id-{*}_repairfiles365@gmail_com

Словили сегодня шифровщика, кто что запускал не понятно, зашифровал все что на флешке, диске Д, и кусок диска С. Шифровал все что связано с бухами, ключи банка, электронные подписи, программу для отрпавки отчетов. Такое чувство что я его прервал когда начал базы 1С обновлять.
В архиве пару файлов, пароль virus. Есть варианты расшифровать?
nod32 его не видет, файлы шифруются.
virus.rar зашифрованный файл, пароль virus.
В начале файл становить с расширением gpg, потом он удаляется и вместо него появляется другой

С помоью МВАМ нашел PUP.Optional.PassView Файл D:\Install\!totalcmd\plugins\exe\NhT\PassMaker.exe
Изменено: Сергей Жало - 22.06.2017 09:13:46
похоже GnuPG используют при шифровании.

# off=0 ctb=84 tag=1 hlen=2 plen=140
:pubkey enc packet: version 3, algo 1, keyid 3DEC2AC53ADBF810
   data: [1023 bits]
# off=142 ctb=d2 tag=18 hlen=2 plen=0 partial new-ctb
:encrypted data packet:
   length: unknown
   mdc_method: 2

File: X:\active\shifr\исследовать\730\virus\v1.2.3_NewInConfig_ru.htm.id-{815F73E7}_repairfiles365@gmail_com
-----------
откуда словили? если есть вложение из электронной почты, перешлите в почту safety@chklst.ru можно в архиве с паролем infected
Цитата
santy написал:
похоже GnuPG используют при шифровании.

# off=0 ctb=84 tag=1 hlen=2 plen=140
:pubkey enc packet: version 3, algo 1, keyid 3DEC2AC53ADBF810
   data: [1023 bits]
# off=142 ctb=d2 tag=18 hlen=2 plen=0 partial new-ctb
:encrypted data packet:
   length: unknown
   mdc_method: 2

File: X:\active\shifr\исследовать\730\virus\v1.2.3_NewInConfig_ru.htm.id-{815F73E7}_repairfiles365@gmail_com
-----------
откуда словили? если есть вложение из электронной почты, перешлите в почту  safety@chklst.ru  можно в архиве с паролем infected
Говорят что нечего не запускали. нечего не качали, работали с бухгалтерской программой, когда пошло шифрование был запущен процес gpg.exe и keygen.exe, есть карантин который делал через avz может его кинуть?

Я успел сделать бакап основных данных кроме флешки, сидел вечером колупался и эти два процеса уидел уже когда рабочий стол начал шифроваться около 23:00, вот лоиг МВАМ, могу еще скинуть файл с расширением gpg
Изменено: Сергей Жало - 12.04.2016 14:04:24
да, скиньте карантин avz, несколько файлов с расширением gpg, сделайте образ автозапуска системы (ссылка в моей подписи),
+ проверьте почту менеджеров, которые работали за компов, в том числе и удаленные сообщения, возможно что-то запустили из почты.
(сами они скорее всего не признаются, точнее признаются если им показать, то что они запускали.)

gpg.exe - это скорее всего легальная утилитка от gnuPG, которая и была использована для шифрования.
В этом случае можно попытаться найти pub &sec key, которые создаются в начале шифрования.
С помощью второго можно расшифровать файлы.
Изменено: santy - 12.04.2016 15:11:10
Цитата
santy написал:
pub &sec key
Так файлы должны называться?
На мыло выслал, лог сюда прикрепил
вот эти файлы еще добавьте в собщение, можно в архиве.
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
C:\USERS\BROVARU\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
судя по образу шифрование было вчера
11.04.2016 в 17:19:22
--------
если использовался gpg.exe для шифрования, то поищите файлы pubring.gpg и secring.gpg (в том числе и среди удаленных файлов) если конечно они не были переименованы после создания.
Изменено: santy - 12.04.2016 16:24:03
Цитата
santy написал:
вот эти файлы еще добавьте в собщение, можно в архиве.
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
C:\USERS\BROVARU\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
судя по образу шифрование было вчера
11.04.2016 в 17:19:22
Я все такие файлы по сносил, но эти почему то остались. Шифровка началась в 10:50. Первый файл был создан в это время, в а 17:19 я же сканил все на вирусы. Вообще сижу балдею с людей, все данные тупо на диске С без единого бакапа, спрашиваю сис.админ есть, отвечают что есть, но бакапы настроить не может потому что в 1С 8.2 и два не шарит, шарит только в 7.7
Изменено: Сергей Жало - 12.04.2016 16:31:10
Цитата
Все ваши документы, фотографии, базы данных и другие файлы были зашифрованы криптостойким алгоритмом с уникальным для вашего ПК ключом.
Если вы хотите убедится в том, что дешифратор для ваших файлов у нас действительно есть, можете прислать нам какой-нибудь зшифрованный файл и мы вернем его оригинал

E-mail для связи с нами *****
все таки, проверьте почту менеджеров, что они могли запустить из почты во вчерашний день.
+ проверьте %temp% юзера, что там осталось со вчерашнего дня в момент начала шифрования
Цитата
santy написал:
все таки, проверьте почту менеджеров, что они могли запустить из почты во вчерашний день.
Пользователь BROVARU только в 1С работает, ничего больше не делает

Вот нашел gnupg, там файлы и iconv.dll выложить архив?
По созданным в это время файлам есть c:\Users\office\Documents\кос2015\1Cv8FTxt\changes201604110000­00.log
c:\Windows\Prefetch\1CV7S.EXE-0FA9C8E3.pf
c:\Windows\Prefetch\1CV8.EXE-642834BD.pf
c:\Windows\Prefetch\ATTRIB.EXE-A990CB86.pf
c:\Windows\Prefetch\CIS.EXE-F3F81C94.pf
c:\Windows\Prefetch\CMDUPD.EXE-04AAE8E2.pf
c:\Windows\Prefetch\KEYGEN.EXE-4FE414E3.pf
c:\Windows\Prefetch\PRINTFILTERPIPELINESVC.EXE-1565F6A1.pf
c:\Windows\Prefetch\RUNDLL32.EXE-B321059F.pf
c:\Windows\Prefetch\SOFTWARE_REPORTER_TOOL.EXE-7A4028C5.pf
Изменено: Сергей Жало - 12.04.2016 16:46:36
gnupg и iconv.dll - это все что нужно для шифрования файлов.
да выложите их,
и вот на эти файлы тоже интересно глянуть
c:\Windows\Prefetch\ATTRIB.EXE-A990CB86.pf
c:\Windows\Prefetch\CIS.EXE-F3F81C94.pf  (если только это не файл от Комодо)
c:\Windows\Prefetch\CMDUPD.EXE-04AAE8E2.pf
c:\Windows\Prefetch\KEYGEN.EXE-4FE414E3.pf
c:\Windows\Prefetch\RUNDLL32.EXE-B321059F.pf
Читают тему (гостей: 1)