зашифровано с расширением .id-{*}_repairfiles365@gmail_com

RSS
Словили сегодня шифровщика, кто что запускал не понятно, зашифровал все что на флешке, диске Д, и кусок диска С. Шифровал все что связано с бухами, ключи банка, электронные подписи, программу для отрпавки отчетов. Такое чувство что я его прервал когда начал базы 1С обновлять.
В архиве пару файлов, пароль virus. Есть варианты расшифровать?
nod32 его не видет, файлы шифруются.
virus.rar зашифрованный файл, пароль virus.
В начале файл становить с расширением gpg, потом он удаляется и вместо него появляется другой

С помоью МВАМ нашел PUP.Optional.PassView Файл D:\Install\!totalcmd\plugins\exe\NhT\PassMaker.exe
Изменено: Сергей Жало - 22.06.2017 09:13:46

Ответы

Не могу теперь негде найти iconv.dll(((

Вот что еще нашел
Изменено: Сергей Жало - 12.04.2016 17:37:01
1.zip уже был в предыдущих сообщениях

по рисунку: пробуйте восстановить то, что выделено на рисунке
только восстановление желательно делать на другой носитель.
--------
кстати, в почту мне ничего не пришло.
Изменено: santy - 12.04.2016 17:38:42
Цитата
santy написал:
1.zip уже был в предыдущих сообщениях

по рисунку: пробуйте восстановить то, что выделено на рисунке
только восстановление желательно делать на другой носитель.
Не тот архив вытянул, перезалил, в верху txt файлы, а в 123.zip dll и exe, пасс infected

отправил еще раз, посмотрите отправителя kot@zo2.net.ua
Изменено: Сергей Жало - 12.04.2016 17:44:00
key.txt содержит публичный ключ gnupg, для расшифровки он не подойдет.
ищите инфо с таким содержанием:
-----BEGIN PGP PRIVATE KEY BLOCK-----

Цитата
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.7 (MingW32)

mI0EVwtYDwEEALbPVgFzNlNfmvFXe9/Kbcq2kDr5WT25KVx4pLCIu6ndp0UD­z0UC
vexfoLYSi9YweRZPzdnXrScbJtio8Rw8c9YDcVyp1k7Ea01sgS3ZYyjWnR2k­eYgT
NUdhZaRJ9aFmE30J5ZqB6vorXPDwxA2XkbQvl+6W1e6+BmlelCLnBnDZABEB­AAG0
JW15Y3J5cHQgKG15Y3J5cHQpIDxteWNyeXB0QGdtYWlsLmNvbT6ItgQTAQIA­IAUC
VwtYDwIbLwYLCQgHAwIEFQIIAwQWAgMBAh4BAheAAAoJED3sKsU62/gQ+I4E­AJoB
afRyyr9RBk52ayTKy91LMMcJ6K4qwbzwnpkTP7TPdF33qRJdPiP8aAP1eJIb­g2lz
O3e8SsnA1nQIQC8v51FP1RbG2YD7IoSm5JQ2wCNR8oHEhHClqPQ0GwMaXAZQ­05s/
SMFyFMz8uhH+fRvfp3Xz8U9apZduuQteILGBhDzA
=zxI6
-----END PGP PUBLIC KEY BLOCK-----
secring.gpg нулевой, поэтому бесполезен для расшифровки... надо искать ненулевой secring.gpg
файлы похоже зашифрованы вот этим ключом.
для расшифровки нужен соответствующий secring.gpg

похоже нашлись продолжатели "славных дел" bat-encoder &vault

gpg: key 3ADBF810: public key "mycrypt (mycrypt) <mycrypt@gmail.com>" imported
gpg: Total number processed: 1
gpg:               imported: 1

- Public keyring updated. -

File: X:\viruses\shifr\encoder\исследовать\400\111\pubring.gpg
Time: 12.04.2016 21:52:03 (12.04.2016 14:52:03 UTC)
------------------
или так еще:

pub   1024R/3ADBF810 11.04.2016
-------------
uid                  mycrypt (mycrypt) <mycrypt@gmail.com>
sig 3        3ADBF810 11.04.2016  mycrypt (mycrypt) <mycrypt@gmail.com>
Изменено: santy - 12.04.2016 18:07:52
Цитата
santy написал:
key.txt содержит публичный ключ gnupg, для расшифровки он не подойдет.
ищите инфо с таким содержанием:
-----BEGIN PGP PRIVATE KEY BLOCK-----
Искать в txt файлах? По идее если был повторый запуск ночью то файл тоже был на пк?
найти бы этих продолжителей, да в лес елку удобрять
Изменено: Сергей Жало - 12.04.2016 18:06:39
при повторном запуске шифровать будет уже другим ключом.
нужен исходник, тот файл, из которого был запущен процесс шифрования.
возможно это был js, который все что надо выкачал из сети, и запустил процесс шифрования.
Цитата
Сергей Жало написал:
Искать в txt файлах? По идее если был повторый запуск ночью то файл тоже был на пк?
найти бы этих продолжителей, да в лес елку удобрять
можно с помощью winhex искать по содержимому всего диска, если позволяет время.
Цитата
santy написал:
можно с помощью winhex искать по содержимому всего диска, если позволяет время.
Я им некогда не пользовался(

В каких он обычно файлах, шифровщик, идет? может на поиск поставлю что то будет, сейчас р-студия сканирует диск Д, там был обнаружен черт какой то который в карантире, может там что то будет
Изменено: Сергей Жало - 12.04.2016 18:14:57
предположительно js
и еще раз напоминаю - проверьте входящую почту менеджера (если конечно он пользуется например оутлуком или thunderbird), который работал на данном компе за 11апреля. обратите внимание на вложения сообщений

и вот это прочитайте
http://chklst.ru/discussion/1481/vault-chto-delat#latest
Изменено: santy - 12.04.2016 18:21:00
Читают тему (гостей: 1)