файлы зашифрованы с расширением .paycrypt / .keybtc@gmail_com , bat encoder / GnuPG

RSS

Сообщений: 1

Регистрация: 01.07.2014

Размещено 01.07.2014 22:11:05

За прошлую ночь зашифровались файлы на локальной машине и сетевом хранилище.
Письмо злоумышленников, ключ и декодер во вложении.
Просьба помочь с расшифровкой
---------
если у вас сохранились зашифрованные файлы *.paycrypt@gmail_com в период где то 1-30 июня 2014 года, пришлите на форум (или в почту [email protected])
несколько зашифрованных файлов и файл KEY.PRIVATE (он важен для восстановления ключа)
есть возможность сейчас восстановить ключ и расшифровать файлы.

Изменено: Валентин - 26.09.2017 05:04:55

Ответы

Пред. 1 2 3 4 5 ... 12 След.

Сообщений: 10

Баллов: 5

Регистрация: 21.08.2014

Размещено 21.08.2014 12:27:26

Вирус зашифровал файлы.
Пришлось связываться с [email protected], они требуют key.private которого нет на компьютере и отправляют к вам для восстановления.
Как его можно восстановить?

Сообщений: 5245

Баллов: 8401

Регистрация: 12.05.2010

Размещено 21.08.2014 12:35:03

Вы являетесь коммерческим пользователем ESET?

ESET Technical Support

Сообщений: 10

Баллов: 5

Регистрация: 21.08.2014

Размещено 21.08.2014 12:35:55

Да естественно.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.08.2014 13:20:44

поищите на диске эти ключи:

Цитата
"%temp%\sdelete.exe" -accepteula -p 4 -q "%temp%\pubring.gpg" "%temp%\sdelete.exe" -accepteula -p 4 -q "%appdata%\gnupg\pubring.gpg" "%temp%\sdelete.exe" -accepteula -p 10 -q "%temp%\secring.gpg" echo paycrypt>"%temp%\secring.gpg" echo %line1%>"%temp%\secring.gpg" echo %line2%>"%temp%\secring.gpg" del /f /q "%temp%\secring.gpg" RENAME "%temp%\secring.gpg.gpg" KEY.PRIVATE set line4=xpUP46l432Qu7Lr md "%temp%\PRIVATE" copy /y "%temp%\KEY.PRIVATE" "%appdata%\KEY.PRIVATE" copy /y "%temp%\KEY.PRIVATE" "%temp%\PRIVATE\KEY%RANDOM%.PRIVATE"

Цитата

"%temp%\sdelete.exe" -accepteula -p 4 -q "%temp%\pubring.gpg"
"%temp%\sdelete.exe" -accepteula -p 4 -q "%appdata%\gnupg\pubring.gpg"
"%temp%\sdelete.exe" -accepteula -p 10 -q "%temp%\secring.gpg"
echo paycrypt>"%temp%\secring.gpg"
echo %line1%>"%temp%\secring.gpg"
echo %line2%>"%temp%\secring.gpg"
del /f /q "%temp%\secring.gpg"
RENAME "%temp%\secring.gpg.gpg" KEY.PRIVATE
set line4=xpUP46l432Qu7Lr
md "%temp%\PRIVATE"
copy /y "%temp%\KEY.PRIVATE" "%appdata%\KEY.PRIVATE"
copy /y "%temp%\KEY.PRIVATE" "%temp%\PRIVATE\KEY%RANDOM%.PRIVATE"

[ Как создать образ автозапуска? ]

Сообщений: 10

Баллов: 5

Регистрация: 21.08.2014

Размещено 21.08.2014 13:37:18

есть
"%temp%\pubring.gpg"
"%appdata%\gnupg\pubring.gpg"

у secring.gpg размер 0

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.08.2014 13:55:17

без KEY.PRIVATE в котором "спрятан" secring.gpg врдли получится расшифровать файлы.

[ Как создать образ автозапуска? ]

Сообщений: 10

Баллов: 5

Регистрация: 21.08.2014

Размещено 21.08.2014 13:59:54

а как его восстановить?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.08.2014 14:15:14

поищите среди удаленных файлов, возможно в корне дисков

Цитата
copy /y "%temp%\KEY.PRIVATE" "C:\KEY.PRIVATE" copy /y "%temp%\KEY.PRIVATE" "D:\KEY.PRIVATE" copy /y "%temp%\KEY.PRIVATE" "%USERPROFILE%\Desktop\KEY.PRIVATE" copy /y "%temp%\KEY.PRIVATE" "%appdata%\Desktop\KEY.PRIVATE" copy /y "%temp%\UNIQUE.PRIVATE" "C:\UNIQUE.PRIVATE" copy /y "%temp%\UNIQUE.PRIVATE" "D:\UNIQUE.PRIVATE" copy /y "%temp%\UNIQUE.PRIVATE" "%USERPROFILE%\Desktop\UNIQUE.PRIVATE" copy /y "%temp%\UNIQUE.PRIVATE" "%appdata%\Desktop\UNIQUE.PRIVATE"

Цитата

copy /y "%temp%\KEY.PRIVATE" "C:\KEY.PRIVATE"
copy /y "%temp%\KEY.PRIVATE" "D:\KEY.PRIVATE"
copy /y "%temp%\KEY.PRIVATE" "%USERPROFILE%\Desktop\KEY.PRIVATE"
copy /y "%temp%\KEY.PRIVATE" "%appdata%\Desktop\KEY.PRIVATE"
copy /y "%temp%\UNIQUE.PRIVATE" "C:\UNIQUE.PRIVATE"
copy /y "%temp%\UNIQUE.PRIVATE" "D:\UNIQUE.PRIVATE"
copy /y "%temp%\UNIQUE.PRIVATE" "%USERPROFILE%\Desktop\UNIQUE.PRIVATE"
copy /y "%temp%\UNIQUE.PRIVATE" "%appdata%\Desktop\UNIQUE.PRIVATE"

[ Как создать образ автозапуска? ]

Сообщений: 10

Баллов: 5

Регистрация: 21.08.2014

Размещено 21.08.2014 14:24:30

есть UNIQUE.PRIVATE

Сообщений: 5245

Баллов: 8401

Регистрация: 12.05.2010

Размещено 21.08.2014 14:25:16

Роман Кильдюшкин, для попытки подбора дешифратора отправьте запрос в техподдержку: [email protected]

ESET Technical Support

Пред. 1 2 3 4 5 ... 12 След.

файлы зашифрованы с расширением *.paycrypt / *.keybtc@gmail_com , bat encoder / GnuPG

Ответы

файлы зашифрованы с расширением .paycrypt / .keybtc@gmail_com , bat encoder / GnuPG