На Касперском пострадавший выложил шифровальщика, куда скинуть?
Весит всего [B]1,4 Кб[/B] использует [COLOR=#197B30]C:\WINDOWS\system32\[/COLOR][COLOR=#0000FF]wscript.exe[/COLOR] работает через .js (Java) зашифровывает документы и изображения на всех жестких дисках и флешках.
Обработчик команд Windows: [COLOR=#197B30]C:\WINDOWS\system32\[/COLOR][COLOR=#0000FF]wscript.exe[/COLOR]
Утилита редактирования системного реестра из командной строки: [COLOR=#197B30]C:\WINDOWS\system32\[/COLOR][COLOR=#0000FF]reg.exe[/COLOR]
Microsoft ® Windows Based Script Host: [COLOR=#197B30]C:\WINDOWS\system32\[/COLOR][COLOR=#0000FF]cmd.exe[/COLOR]
Attribute Utility: [COLOR=#197B30]C:\WINDOWS\system32\[/COLOR][COLOR=#0000FF]attrib.exe[/COLOR]
Служебная программа для поиска строк (QGREP): [COLOR=#197B30]C:\WINDOWS\system32\[/COLOR][COLOR=#0000FF]findstr.exe[/COLOR]
Change CodePage Utility: [COLOR=#197B30]C:\WINDOWS\system32\[/COLOR][COLOR=#0000FF]chcp.com[/COLOR]
Принудительное завершение процесса: [COLOR=#197B30]C:\WINDOWS\system32\[/COLOR][COLOR=#0000FF]taskkill.exe[/COLOR]
Возможно ключ или создание ключа: [COLOR=#000000]C:\Documents and Settings\%USERNAME%\Local Settings\Temp\[/COLOR][COLOR=#FF0000]keybtc.exe[/COLOR]
Поддельный системный файл: [COLOR=#000000]C:\Documents and Settings\%USERNAME%\Local Settings\Temp\[/COLOR][COLOR=#FF0000]svchost.exe[/COLOR]
Поддельный системный файл: [COLOR=#000000]C:\Documents and Settings\%USERNAME%\Local Settings\Temp\[/COLOR][COLOR=#FF0000]taskmngr.exe[/COLOR]
Файл подчистки, возможно удаления оригинальных файлов: [COLOR=#000000]C:\Documents and Settings\%USERNAME%\Local Settings\Temp\[/COLOR][COLOR=#FF0000]sdelete.exe[/COLOR] (утилита безвозвратного удаления файлов)
Какой-то тунель: [COLOR=#000000]C:\Documents and Settings\%USERNAME%\Local Settings\Temp\[/COLOR][COLOR=#FF0000]stunnel.exe[/COLOR] (stunnel - multiplatform SSL tunneling proxy)
[COLOR=#FF0000]bitdata.cmd + keyb.cmd[/COLOR]
[COLOR=#EE1D24][B]Скан-копии счетов.zip[/B][/COLOR]
[COLOR=#FF0000]Счета н.12, н.124 - ЗАО НПО Берег - поставка противопожарного оборудования (систем) - рукава, огнетушители, системы пожаротушения от 10.2014.dосх .js[/COLOR]
Скрытый текст |
---|
[QUOTE]Внимание. Ваши документы, фото, базы данных, а также другие важные файлы, были зашифрованы при помощи криптостойкого алгоритма RSA-1024.
1. Компьютер зашифрован
1.1. К сожалению, Вы стали жертвой вируса-шифровальщика. 1.2. Проведем паралель работы вируса-шифровальщика на примере материального предмета (=Вашего файла) - Вирус берет Ваш чемодан с документами. - Используя 1024 битный ключ выполняет его шифрование(это не кладет его под замок-оболочку, нет). - Вирус перетирает содержимое в пыль, фактически затирая и перезаписывая каждый байт данных при помощи уникального ключа - Вы сможете из пыли собрать чемодан с документами? Нет. - Восстановить данные можно имея только специальный ключ, который содержится у нас в базе.
2. Подробнее
2.1. Каждый компьютер/пользователь имеет свой уникальный ключ (KEY.PRIVATE) и дополнительный файл-идентификатор (UNIQUE.PRIVATE) 2.2. Для восстановления всех Ваших данных нужны только эти два файла. 2.3. Все гарантии дешифрования Вы получите в процессе работы с автоматизированной системой [email protected] 2.4. Ваш случай - ассиметричное шифрование RSA-1024, используется в военной сфере. Подобрать/взломать его невозможно. При шифровании, в разные места компьютера был скопирован 'KEY.PRIVATE' и специальный ID-файл 'UNIQUE.PRIVATE'. Не потеряйте их ()
3. Решение вопроса
3.1. У Вас есть 2 варианта: - если данные важны - делаем запрос на дешифрование. Вполне разумное решение - если данные не важны - форматируем диск Не стоит ждать появления универсального дешифратора от антивирусных лабораторий. Беспокоимся про ограниченные сроки годности Вашего ключа. 3.2. Ваши ресурсы, необходимые для быстрого решения вопроса: - KEY.PRIVATE - UNIQUE.PRIVATE - Несколько зашифрованных файлов с расширением .keybtc@gmail_com 3.3. Без вышеперечисленных составляющих дешифровка не представляется возможной.
4. ГАРАНТИИ восстановления, а также пошаговая инструкция.
4.1. Автоматизированная система KEYBTC построена таким образом, что она учитывает Ваши интересы в получении гарантий. - Вы получаете гарантии от нас. Система демонстрирует, что Ваши файлы подлежат восстановлению. Для этого Вы отправляете два зашифрованных файла с расширением keybtc@gmail_com нам на почту. В ответ, Вы получите два тестовых расшифрованных файла и дальнейшие шаги. Тестовое дешифрование предоставляет Вам гарантию того, что мы можем дешифровать файлы.
- Вы получаете гарантии людей, кто уже работал с нами и восстановили данные. В нашем Твиттер аккаунте система автоматически публикует e-mail покупателей. Можете написать письмо, поинтересоваться.
4.2. При подаче нам запроса, для определения стоимости и предоставления гарантий, необходимо отправить нам следующее: - вложение к письму без архива: KEY.PRIVATE - вложение к письму без архива: UNIQUE.PRIVATE - [по желанию] тестовый зашифрованный файл с расширением .keybtc@gmail_com не более 3МБ - [по желанию] 2-й тестовый зашифрованный файл с расширением .keybtc@gmail_com не более 3МБ. Более 2-х файлов не отправляйте. Для демонстрации дешифрования этого достаточно. - Система определит, если Вы решите проявить хитрость и подменить расширение с xls на doc. Стоимость резко вырастет.
4.3. Тестовое дешифрование разрешено ТОЛЬКО следующих типов файлов: (JPG, JPEG, PDF, DOC, DOCX) и НЕ БОЛЕЕ 3 мегабайт за файл. 4.4. ВАЖНО. XLS, базы 1C и пр важные документы по понятным причинам не дешифруются для демонстрации. При получении дешифратора они будут восстановлены, как и остальные файлы. 4.5. АВТООТВЕТЧИК: [email protected]
5. Другие моменты
5.1. Если в течение длительного времени Вы не получите ответа - напишите с другой почты. 5.2. После приобретения ключа, сделайте копию всех важных зашифрованных файлов на внешние носители. 5.3. В процессе дешифрования желательно не трогать компьютер, () ДВА раза запускать с ключем дешифратор не нужно. 5.4. Сам процесс дешифрования происходит в скрытом режиме (обычно до 6-ти часов) 5.5. Если думаете, что вместо дешифратора Вы получите очередной вирус, тогда поставьте виртуальную систему и там проведите дешифровку. 5.6. Если какие-то файлы не будут окончательно расшифрованы, читайте FAQ 5.7. После дешифрования все оригинальные имена файлов восстанавливаются 5.8. Во время работы Вы получите дополнительные инструкции по почте. 6. FAQ (Вопрос-Ответ)
[-] Где найти KEY.PRIVATE и UNIQUE.PRIVATE = При начале работы ПО, KEY.PRIVATE копируется в несколько мест, дабы Вы его не удалили где-то = Без файла KEY.PRIVATE дешифровка невозможна. Он может находится по след. путям: Корни дисков, папка APPDATA, папка TEMP = Программа дешифрвщик будет идти вместе с ключем и инструкцией [-] Я не могу найти KEY.RPIVATE и UNIQUE.PRIVATE. = Возможно это сетевой диск, поищите в папках C:\Users\vitalii\AppData\Roaming на всех компьютерах сети
[-] А если мне нужно только 1 файл дешифровать и все? А у меня 50 тыс ненужных?? = К сожалению, у Вас есть выбор или дешифровать все, или ничего. [-] ОЧЕНЬ ВСЕ СЛОЖНО КАК-ТО, я ничего не понимаю = Процедура очень проста. 1. Ваши файлы зашифрованы. Расшифровать можем только мы. Для получения стоимости и гарантий отправьте нам письмо с KEY и UNIQUE. Посетите Twitter 2. При отправке запроса, Нашли KEY.PRIVATE и UNIQUE.KEY на своем ПК, взяли пару зашифрованных файлов - отправили автоответчику [email protected] 3. Через некоторое время получаете автоматический ответ с гарантиями, инструкцией и стоимостью 4. Получаете ключ дешифрования после оплаты, ПО и инструкцию по дешифрованию
7. НОВОСТИ И ГАРАНТИИ
7.1. Проводится небольшой набор партнеров. Подробнее ищите в Интернете или пишите на почту [email protected] 7.2. Обращаем внимание, система работает в Автоматическом режиме Начиная от обработки запросов и заканчивая отправкой Ваших ключей из базы. 7.3. Новостная лента, а также ГАРАНТИИ (почты покупателей) в Твиттере: http://twitter.com/keybtc - пишите им, интересуйтесь. Много корпоративных почт.
Время блокировки: 02.10.2014 / [/QUOTE] [COLOR=#FFFFFF]earthlings.com/?page_id=12[/COLOR] |
[QUOTE]Исходные приложения:
для всех
Конечные файлы:
C:\DOCUME~1\\LOCALS~1\Temp\bitdata.cmd
C:\DOCUME~1\\LOCALS~1\Temp\pubring.gpg
C:\DOCUME~1\\LOCALS~1\Temp\sdelete.exe[/QUOTE]