файлы зашифрованы с расширением *.paycrypt / *.keybtc@gmail_com , bat encoder / GnuPG

RSS
За прошлую ночь зашифровались файлы на локальной машине и сетевом хранилище.
Письмо злоумышленников, ключ и декодер во вложении.
Просьба помочь с расшифровкой
---------
если у вас сохранились зашифрованные файлы *.paycrypt@gmail_com в период где то 1-30 июня 2014 года, пришлите на форум (или в почту safety@chklst.ru)
несколько зашифрованных файлов и файл KEY.PRIVATE (он важен для восстановления ключа)
есть возможность сейчас восстановить ключ и расшифровать файлы.
Изменено: Валентин - 26.09.2017 05:04:55

Ответы

Пред. 1 ... 8 9 10 11 12
Доброго времени суток! На компе поймали вирус-шифровальщик, все файлы стали вида старое_название.старое_расширение.paycrypt@gmail_com

1) есть ли какой-либо способ расшифровать файлы(помимо связи с вымогателями) на данный момент?
2) как очистить систему от остатков вируса и что предпринять для предотвращения таких случаев в дальнейшем(помимо очевидного не открывать все подозрительные вложения в почте)?

Спасибо.
добавьте образ автозапуска системы, где было шифрование.
http://forum.esetnod32.ru/forum9/topic2687/
Вот что нашлось
возможно, это был шифратор

Полное имя                  C:\USERS\TATIANA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{75B6FD42-3SKE-818D-9865-3YTA2892536Y}.EXE
Имя файла                   {75B6FD42-3SKE-818D-9865-3YTA2892536Y}.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-1758853870-1299484010-1216550196-5228\Software\Microsoft\Windows\CurrentVersion\Run\{75B6FD42-3SKE-818D-9865-3YTA2892536Y}
{75B6FD42-3SKE-818D-9865-3YTA2892536Y}C:\Users\tatiana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{75B6FD42-3SKE-818D-9865-3YTA2892536Y}.exe
                           
----------------
судя по образу система чистая.

по расшифровке напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
если у вас сохранились зашифрованные файлы *.paycrypt@gmail_com в период где то 1-30 июня 2014 года, пришлите на форум (или в почту safety@chklst.ru)
несколько зашифрованных файлов и файл KEY.PRIVATE (он важен для восстановления ключа)
есть возможность сейчас восстановить ключ и расшифровать файлы.


эти ключи уже доступны.

Цитата
63E66460
DB0E4003
CDB7701B
369AE471
23AE1FA6
F4CF450E
Пред. 1 ... 8 9 10 11 12
Читают тему (гостей: 2)