Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением *.paycrypt / *.keybtc@gmail_com , bat encoder / GnuPG

RSS
 
Сергей Иванов
Сергей Иванов
Пользователь
Сообщений: 1
Регистрация: 01.07.2014
Размещено 01.07.2014 22:11:05
За прошлую ночь зашифровались файлы на локальной машине и сетевом хранилище.
Письмо злоумышленников, ключ и декодер во вложении.
Просьба помочь с расшифровкой
---------
если у вас сохранились зашифрованные файлы *.paycrypt@gmail_com в период где то 1-30 июня 2014 года, пришлите на форум (или в почту [email protected])
несколько зашифрованных файлов и файл KEY.PRIVATE (он важен для восстановления ключа)
есть возможность сейчас восстановить ключ и расшифровать файлы.
Изменено: Валентин - 26.09.2017 05:04:55

Ответы

Пред. 1 ... 3 4 5 6 7 ... 12 След.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 21.08.2014 19:10:50
угу, еще два публик ключа здесь

gpg (GnuPG) 1.4.16; Copyright © 2013 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.


pub  1024R/FF52389D  создан: 2014-08-19  годен до: неогранич   применяемость: SC
EA
                    доверие: неизвестно    достоверность: неизвестно
[неизвстн] (1). cryptpay (cryptpay) <[email protected]>

gpg>

:public key packet:
version 4, algo 1, created 1408427413, expires 0
pkey[0]: [1024 bits]
pkey[1]: [17 bits]
keyid: 16B73C03FF52389D
:user ID packet: "cryptpay (cryptpay) <[email protected]>"
:signature packet: algo 1, keyid 16B73C03FF52389D
version 4, created 1408427413, md5len 0, sigclass 0x13
digest algo 2, begin of digest 74 fe
hashed subpkt 2 len 4 (sig created 2014-08-19)
hashed subpkt 27 len 1 (key flags: 2F)
hashed subpkt 11 len 5 (pref-sym-algos: 9 8 7 3 2)
hashed subpkt 21 len 5 (pref-hash-algos: 8 2 9 10 11)
hashed subpkt 22 len 3 (pref-zip-algos: 2 3 1)
hashed subpkt 30 len 1 (features: 01)
hashed subpkt 23 len 1 (key server preferences: 80)
subpkt 16 len 8 (issuer key ID 16B73C03FF52389D)
data: [1023 bits]
:trust packet: flag=00 sigcache=03

File: Z:\virus!!!\[email protected]\1\pubring.gpg
-----------------
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 21.08.2014 19:16:09
и такой ключ

gpg (GnuPG) 1.4.16; Copyright © 2013 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.


pub  1024R/3ED78E85  создан: 2014-06-28  годен до: неогранич   применяемость: SC

                    доверие: неизвестно    достоверность: неизвестно
sub  1024R/F05CF9EE  создан: 2014-06-28  годен до: неогранич   применяемость: E

[неизвстн] (1). HckTeam (HckTeam) <[email protected]>

gpg>

:public key packet:
version 4, algo 1, created 1403952826, expires 0
pkey[0]: [1024 bits]
pkey[1]: [17 bits]
keyid: 3639A9EE3ED78E85
:user ID packet: "HckTeam (HckTeam) <[email protected]>"
:signature packet: algo 1, keyid 3639A9EE3ED78E85
version 4, created 1403952826, md5len 0, sigclass 0x13
digest algo 2, begin of digest 16 8f
hashed subpkt 2 len 4 (sig created 2014-06-28)
hashed subpkt 27 len 1 (key flags: 03)
hashed subpkt 11 len 5 (pref-sym-algos: 9 8 7 3 2)
hashed subpkt 21 len 5 (pref-hash-algos: 8 2 9 10 11)
hashed subpkt 22 len 3 (pref-zip-algos: 2 3 1)
hashed subpkt 30 len 1 (features: 01)
hashed subpkt 23 len 1 (key server preferences: 80)
subpkt 16 len 8 (issuer key ID 3639A9EE3ED78E85)
data: [1020 bits]
:public sub key packet:
version 4, algo 1, created 1403952826, expires 0
pkey[0]: [1024 bits]
pkey[1]: [17 bits]
keyid: 7856602BF05CF9EE
:signature packet: algo 1, keyid 3639A9EE3ED78E85
version 4, created 1403952826, md5len 0, sigclass 0x18
digest algo 2, begin of digest e6 39
hashed subpkt 2 len 4 (sig created 2014-06-28)
hashed subpkt 27 len 1 (key flags: 0C)
subpkt 16 len 8 (issuer key ID 3639A9EE3ED78E85)
data: [1024 bits]
[ Как создать образ автозапуска? ]
 
Егор Цыбульский
Егор Цыбульский
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 21.08.2014
Размещено 21.08.2014 21:42:38
На компьютере зашифрованы документы, фотографии, архивы. В их названии появился префикс paycrypt@gmail_com. Как расшифровать файлы? Примеры зашифрованных файлов, оригинальный шифратор, а так же текстовый документ с инструкциями злоумышленников прикрепил.
Изменено: Валентин - 19.01.2017 06:54:14 (Публикация вредоеносных файлов на форуме запрещена.)
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 22.08.2014 05:56:01
При шифровании, в разные места компьютера были скопированы специальные файлы 'KEY.PRIVATE' и 'UNIQUE.PRIVATE'. Не потеряйте их!
Для каждого компьютера ключ создается новый. Он уникальный и в нём содержится код на дешифровку. Он Вам и нужен.

'KEY.PRIVATE' и ID-файла 'UNIQUE.PRIVATE' (!!) - поищите его на компьютере, без него восстановление невозможно
-------
по файлу unique.private

Цитата
gpg: зашифровано ключом RSA с ID 24271445
gpg: сбой расшифрования: секретный ключ не найден

File: Z:\virus!\[email protected]\2\deshifratordisk2\UNIQUE.PRIVATE.gpg
Time: 22.08.2014 9:08:17 (22.08.2014 2:08:17 UTC)

по файлу KEY.PRIVATE

Цитата
gpg: зашифровано ключом RSA с ID F05CF9EE
gpg: сбой расшифрования: секретный ключ не найден

File: Z:\virus!\[email protected]\2\deshifratordisk2\KEY.PRIVATE.gpg
Time: 22.08.2014 9:11:14 (22.08.2014 2:11:14 UTC)

+
эти файлы еще посмотрите на диске

Цитата
"%temp%\sdelete.exe" -accepteula -p 4 -q "%temp%\pubring.gpg"
"%temp%\sdelete.exe" -accepteula -p 4 -q "%appdata%\gnupg\pubring.gpg"
"%temp%\sdelete.exe" -accepteula -p 10 -q "%temp%\secring.gpg"
Изменено: santy - 19.01.2017 06:54:14
[ Как создать образ автозапуска? ]
 
Валентин
Валентин
Администратор
Сообщений: 5198
Баллов: 4168
Регистрация: 12.05.2010
Размещено 22.08.2014 11:40:12
И затем продублируйте запрос в техподдержку: [email protected]
ESET Technical Support
 
Pavel Bagr
Pavel Bagr
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 22.08.2014
Размещено 22.08.2014 20:05:26
Цитата
santy пишет:

При шифровании, в разные места компьютера были скопированы специальные файлы 'KEY.PRIVATE' и 'UNIQUE.PRIVATE'. Не потеряйте их!
Для каждого компьютера ключ создается новый. Он уникальный и в нём содержится код на дешифровку. Он Вам и нужен.

'KEY.PRIVATE' и ID-файла 'UNIQUE.PRIVATE' (!!) - поищите его на компьютере, без него восстановление невозможно
Добрый день!
появилась такая же проблема. Файл UNIQUE.PRIVATE был легко обнаружен, а вот KEY.PRIVATE отсутствует.
После того как обратился к [email protected] они мне написали "попробуйте восстановить с папки TEMP файл secring.gpg " , не подскажите что это все означает? и куда мог исчезнуть KEY.PRIVATE ?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 22.08.2014 20:10:35
файл KEY.PRIVATE может быть в корне дисков. так же поищите среди удаленных файлов в папке TEMP secring.gpg
secring.gpg важен для расшифровки зашифрованных файлов. он зашифрован в файле KEY.PRIVATE. без него расшифровка невозможна.
Изменено: santy - 19.01.2017 06:54:14
[ Как создать образ автозапуска? ]
 
Pavel Bagr
Pavel Bagr
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 22.08.2014
Размещено 22.08.2014 21:38:04
KEY.PRIVATE отсутствует на диске С, все проверил, искал его и в ручную и через поиск. У этого файла расширение "private" ?
Т.е. я правильно понимаю, что еще нужен файл secring.gpg ? папка TEMP это та которая находится в WINDOWS ? если да , то его там тоже нет. Куда они могли деться , если я ничего не удалял, это точно.
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 22.08.2014 22:52:50
Pavel Bagr
Для поиска файлов рекомендую: http://forum.esetnod32.ru/forum8/topic708/
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 23.08.2014 08:11:40
Цитата
Pavel Bagr пишет:

Куда они могли деться , если я ничего не удалял, это точно.

поищите во всех папках temp, + смотрите среди удаленных файлов. с помощью утилит, которые умеют работать со список удаленных файлов.
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 3 4 5 6 7 ... 12 След.
Читают тему