Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .ARRESTED

1
RSS
 
xmolex
xmolex
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 01.07.2013
Размещено 01.07.2013 19:25:46
Здравствуйте.
Все зашифрованные файлы имеют расширение .ARRESTED
Имеется файл "ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT" с содержимым:
Цитата
Здравствуйте!
Ваш компьютер был атакован опаснейшим вирусом!
Вся Ваша информация, включая базы данных, документы, бэкапы, и прочие файлы была зашифрована при помощи криптостойких алгоритмов.
Все зашифрованные файлы имеют расширение .ARRESTED
Восстановить файлы можно только при помощи дешифратора и пароля, который, в свою очередь, знаем только мы.
Подобрать его невозможно. Переустановка ОС ничего не изменит.
Ни один системный администратор в мире не решит эту проблему не зная пароля.
Ни в коем случае не изменяйте файлы! А если решились, то сделайте резервные копии.
Напишите нам письмо на адрес [email protected] (в случае если вам не ответили в течение 12 часов, то продублируйте письмо на почту [email protected]) для получения дальнейших инструкций.
Мы расшифруем один абсолютно любой файл .ARRESTED для вас бесплатно (кроме баз данных, за которые, собственно, вы нам и платите)
Для этого прикрепите его и файл "ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT"
Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.
Среднее время ответа специалиста 1-12 часов.
К письму прикрепите файл "ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT".
Письма с угрозами ни к чему хорошему вас не приведут.
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!

<><><><><><><><><><><><><><><><><><><><><>
rB4EajQICa6ke0IcUXF4MiHEwkDdjpe3
<><><><><><><><><><><><><><><><><><><><><>

Злоумышленники сообщают:
Цитата
Стоимость дешифратора составляет 3000 гривен либо 11000 рублей.
Вам будет необходимо пополнить наш счет QIWI кошелька на эту сумму.
После поступления средств вам будет выслана инструкция по расшифровке, вместе с необходимой программой.
Скидок нет. Рассрочек тоже.
Вы можете прикрепить нам тестовый файлик для расшифровки (расширение .ARRESTED)
Базы данных бесплатной расшифровки не подлежат, файлы большого размера тоже, в целях экономии времени.
Обязательно вместе с ним прикрепите ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT
Реквизиты QIWI кошелька высылаются не более чем за 36 часов до оплаты.
Граждане Украины могут найти адреса терминалов QIWI по ссылке:
http://qiwi.ua/public/clients/how/where/
Пожалуйста, не изменяйте тему сообщения.
Постоянно смотрите папку спам в почте, именно там может оказаться наше письмо.

Программа шифратор находится здесь - http://upwap.ru/3241008
Правда на архиве пароль. Был и расшифрованный audiodg.exe, но пока я разбирался откуда корни, он уже удалился. Т.к. это сервер, то восстановить удаленный файл уже не получилось. Сейчас пытаюсь подобрать пароль брутфорсом, но пока безрезультатно.

Имя пользователя: EAV-83555555
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 01.07.2013 20:46:16
Ну собственно пароль к архиву подобрали.... но это врядли поможет,  поскольку пароль очень длинный и вводился вручную.
Поможет только покупка дешифратора у злоумышленников
 
xmolex
xmolex
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 01.07.2013
Размещено 01.07.2013 23:01:12
Цитата
zloyDi пишет:
Ну собственно пароль к архиву подобрали.... но это врядли поможет,  поскольку пароль очень длинный и вводился вручную.
Поможет только покупка дешифратора у злоумышленников

Если вы поодобрали пароль к архиву, может выложите exe, чтобы можно было его исследовать.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 01.07.2013 23:02:28
На форуме запрещено выкладывать вредоносные файлы. Файл уже отправлен в специальный отдел вирлаба для анализа.
 
xmolex
xmolex
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 01.07.2013
Размещено 01.07.2013 23:34:28
Цитата
zloyDi пишет:
На форуме запрещено выкладывать вредоносные файлы. Файл уже отправлен в специальный отдел вирлаба для анализа.
Если не сложно, может скинете мне его на [email protected], чтобы я и сам мог его поисследовать (дизассемблировать). Буду несказанно благодарен.
А то 73 машины у меня сейчас пытаются пароль подобрать :-)
 
xmolex
xmolex
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 01.07.2013
Размещено 02.07.2013 12:17:56
Заплатил злоумышленникам, предварительно связавшись с отделом безопасности системы, куда злоумышленники просили произвести платеж и написав заявление в милицию.
Получил следующий ответ:
Цитата
1) Отключаем антивирус.
2) Скачайте Decryptor по ссылке:
http://gfile.ru/a1fHx
Пароль на архив:
SlJB0sTA
3) Разархивируйте Decryptor в Мои документы пользователя с админ привелегиями.
4) Введите ключ:
yBAawhacYUD7H97quu1hEwyrNAwlvsmO
Внимание!
Востановить данные в случае ввода неверного ключа будет невозможно!
Обращаем внимание, ключ не может содержать пробелы.
Выделяем ключ - копируем - вставляем в окно дешифратора.
И на всякий случай, скопируйте самые важные зашифрованные файлы на съемный носитель, после чего извлеките его из зараженного пк перед началом дешифрации.
Для владельцев 1С, проверьте перед запуском стоит ли расширение .ARRESTED в файлах баз данных.
Если стоит - хорошо, если нет, то
а) Попробуйте открыть базу в текстовом редакторе, и если там будут понятные символы то она не зашифрована.
б) если она не откроется(либо откроются иероглифы), то поставьте расширение .ARRESTED вручную, скопируйте заблаговременно зашифрованную базу на съемный носитель, и извлеките его из зараженного пк!
в) Иногда после дешифровки 1С выдает ошибку: "Ошибка формата потока", в таком случае удаляем папки 1Cv8FTxt и 1Сv8Log, в них живут файлы *.log; *.lgp и *.lgf. Тогда пропадет весь журнал, но зато все заработает.
Иных вопросов у вас возникнуть не может, если вы не изменяли зашифрованные файлы.
5) Нажимаем кнопку расшифровать всё (либо сначала выбираем зашифрованный файл, затем нажимаем кнопку расшифровать файл, обращаем внимание, пароль должен быть вставлен в окно дешифратора).
Начнется расшифровка.
Среднее время расшифровки 2 часа.
По окончанию дешифровки, дешифратор выдаст сообщение: Готово!

Ключ скорее всего уникальный. Но если вдруг в вашем ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT имеется "rB4EajQICa6ke0IcUXF4MiHEwkDdjpe3", то думаю, что он вам подойдет.
Изменено: xmolex - 12.06.2016 12:45:03
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 02.07.2013 12:30:19
Цитата
xmolex пишет:
предварительно связавшись с отделом безопасности системы, куда злоумышленники просили произвести платеж и написав заявление в милицию
в QIWI писали? они ответили?
Правильно заданный вопрос - это уже половина ответа
 
xmolex
xmolex
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 01.07.2013
Размещено 02.07.2013 15:48:50
Цитата
Арвид пишет:
в QIWI писали? они ответили?
Писал на [email protected], ответили, правда все еще в процессе переписки с ними.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 02.07.2013 17:05:40
Собственно уже есть декодер, но для его работы нужен закрытый ключ, который известен только злоумышленникам.
http://virusinfo.info/showthread.php?t=141355
 
1
Читают тему