http://forum.esetnod32.ru Новое в теме зашифровано с расширением .id-{*}_repairfiles365@gmail_com форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Sun, 19 Apr 2026 16:38:25 +0300 зашифровано с расширением .id-{*}_repairfiles365@gmail_com в форуме Шифровальщики файлов и подбор дешифраторов.
интересно, что и во второй теме:
https://virusinfo.info/showthread.php?t=199536
на компьютере пострадавшего пользователя установлен не_без_известный софт Medoc: C:\ProgramData\Medoc\Medoc_2\ezvitInfo.exe
HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, ezvitInfo

возможно, именно через него и было получено "очередное обновление с нагрузкой шифратора"
по второй теме файлы зашифрованы с другим идентификатором
001_0218_2.zip.id-{C4591254}_repairfiles365@gmail_com
но вот какой при этом использовался ключ - неизвестно, нет зашифрованных файлов в этой теме,
09.02.2018 05:26:14, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13163/message102032/ http://forum.esetnod32.ru/messages/forum35/topic13163/message102032/ Fri, 09 Feb 2018 05:26:14 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .id-{*}_repairfiles365@gmail_com в форуме Шифровальщики файлов и подбор дешифраторов.
Наверно закрываем тему до лучшех времен) просканил удаленную машину, вирусов кучу, на почту приходило только два письма в doc и от постоянных клиентов, там все нормально, в загрузках тоже. ну и человек сидит гороскопы читает и гадает в интернете))))
13.04.2016 10:32:55, Сергей Жало.]]> http://forum.esetnod32.ru/messages/forum35/topic13163/message92792/ http://forum.esetnod32.ru/messages/forum35/topic13163/message92792/ Wed, 13 Apr 2016 10:32:55 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .id-{*}_repairfiles365@gmail_com в форуме Шифровальщики файлов и подбор дешифраторов.
я уже написал, что интересует в первую очередь по данному шифратору. исходный файл или письмо, адрес, откуда был запущен шифратор.
13.04.2016 09:58:57, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13163/message92791/ http://forum.esetnod32.ru/messages/forum35/topic13163/message92791/ Wed, 13 Apr 2016 09:58:57 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .id-{*}_repairfiles365@gmail_com в форуме Шифровальщики файлов и подбор дешифраторов.
Делаю скан удаленной машины, смотрите что пока наше, это в mbam:
Trojan.WebMoner Key
PUP.Optional.ClientConnect Файл
13.04.2016 09:57:06, Сергей Жало.]]> http://forum.esetnod32.ru/messages/forum35/topic13163/message92790/ http://forum.esetnod32.ru/messages/forum35/topic13163/message92790/ Wed, 13 Apr 2016 09:57:06 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .id-{*}_repairfiles365@gmail_com в форуме Шифровальщики файлов и подбор дешифраторов.
да, пока не от чего оттолкнуться.
нужен исходный файл, с которого был запущен процесс шифрования, чтобы проверить всю цепочку от начала и конца шифрования.
13.04.2016 09:35:48, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13163/message92789/ http://forum.esetnod32.ru/messages/forum35/topic13163/message92789/ Wed, 13 Apr 2016 09:35:48 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .id-{*}_repairfiles365@gmail_com в форуме Шифровальщики файлов и подбор дешифраторов.
Короче, больше нечего, сейчас поставлю машину еще на скан которая удаленно подключается, может там что то интересное, половину выращил через р-студию
13.04.2016 09:11:42, Сергей Жало.]]> http://forum.esetnod32.ru/messages/forum35/topic13163/message92788/ http://forum.esetnod32.ru/messages/forum35/topic13163/message92788/ Wed, 13 Apr 2016 09:11:42 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .id-{*}_repairfiles365@gmail_com в форуме Шифровальщики файлов и подбор дешифраторов.
это какие то обрезки инфо. приватный ключ по размеру должен быть порядка 1kbytes
13.04.2016 05:00:10, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13163/message92781/ http://forum.esetnod32.ru/messages/forum35/topic13163/message92781/ Wed, 13 Apr 2016 05:00:10 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .id-{*}_repairfiles365@gmail_com в форуме Шифровальщики файлов и подбор дешифраторов.
Вот что нашел связанное с приватом  
noname.rar
12.04.2016 21:55:05, Сергей Жало.]]> http://forum.esetnod32.ru/messages/forum35/topic13163/message92780/ http://forum.esetnod32.ru/messages/forum35/topic13163/message92780/ Tue, 12 Apr 2016 21:55:05 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .id-{*}_repairfiles365@gmail_com в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
предположительно js
и еще раз напоминаю - проверьте входящую почту менеджера (если конечно он пользуется например оутлуком или thunderbird), который работал на данном компе за 11апреля. обратите внимание на вложения сообщений

и вот это прочитайте
http://chklst.ru/discussion/1481/vault-chto-delat#latest
=============
Читал уже тышу раз( раз даже моя контора попала на шифровщик, но не вытащили нечего.
Я уже чуть ли иголки в пальцы не вставлял когда спрашивал, говорят нечего не трогали, там 3389 открыт, может через него вломились?

У одного пользователя которого я подозреваю,вообще история в браузере девственная. Бред, и права у него обрезанные
12.04.2016 18:26:09, Сергей Жало.]]> http://forum.esetnod32.ru/messages/forum35/topic13163/message92778/ http://forum.esetnod32.ru/messages/forum35/topic13163/message92778/ Tue, 12 Apr 2016 18:26:09 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .id-{*}_repairfiles365@gmail_com в форуме Шифровальщики файлов и подбор дешифраторов.
предположительно js
и еще раз напоминаю - проверьте входящую почту менеджера (если конечно он пользуется например оутлуком или thunderbird), который работал на данном компе за 11апреля. обратите внимание на вложения сообщений

и вот это прочитайте
http://chklst.ru/discussion/1481/vault-chto-delat#latest
12.04.2016 18:19:55, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13163/message92777/ http://forum.esetnod32.ru/messages/forum35/topic13163/message92777/ Tue, 12 Apr 2016 18:19:55 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .id-{*}_repairfiles365@gmail_com в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
можно с помощью winhex искать по содержимому всего диска, если позволяет время.
=============
Я им некогда не пользовался(

В каких он обычно файлах, шифровщик, идет? может на поиск поставлю что то будет, сейчас р-студия сканирует диск Д, там был обнаружен черт какой то который в карантире, может там что то будет
12.04.2016 18:13:41, Сергей Жало.]]> http://forum.esetnod32.ru/messages/forum35/topic13163/message92776/ http://forum.esetnod32.ru/messages/forum35/topic13163/message92776/ Tue, 12 Apr 2016 18:13:41 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .id-{*}_repairfiles365@gmail_com в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Сергей Жало написал:
Искать в txt файлах? По идее если был повторый запуск ночью то файл тоже был на пк?
найти бы этих продолжителей, да в лес елку удобрять
=============
можно с помощью winhex искать по содержимому всего диска, если позволяет время.
12.04.2016 18:12:04, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13163/message92775/ http://forum.esetnod32.ru/messages/forum35/topic13163/message92775/ Tue, 12 Apr 2016 18:12:04 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .id-{*}_repairfiles365@gmail_com в форуме Шифровальщики файлов и подбор дешифраторов.
при повторном запуске шифровать будет уже другим ключом.
нужен исходник, тот файл, из которого был запущен процесс шифрования.
возможно это был js, который все что надо выкачал из сети, и запустил процесс шифрования.
12.04.2016 18:10:54, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13163/message92774/ http://forum.esetnod32.ru/messages/forum35/topic13163/message92774/ Tue, 12 Apr 2016 18:10:54 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .id-{*}_repairfiles365@gmail_com в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
key.txt содержит публичный ключ gnupg, для расшифровки он не подойдет.
ищите инфо с таким содержанием:
-----BEGIN PGP PRIVATE KEY BLOCK-----

=============
Искать в txt файлах? По идее если был повторый запуск ночью то файл тоже был на пк?
найти бы этих продолжителей, да в лес елку удобрять
12.04.2016 17:58:02, Сергей Жало.]]> http://forum.esetnod32.ru/messages/forum35/topic13163/message92773/ http://forum.esetnod32.ru/messages/forum35/topic13163/message92773/ Tue, 12 Apr 2016 17:58:02 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .id-{*}_repairfiles365@gmail_com в форуме Шифровальщики файлов и подбор дешифраторов.
файлы похоже зашифрованы вот этим ключом.
для расшифровки нужен соответствующий secring.gpg

похоже нашлись продолжатели "славных дел" bat-encoder &vault

gpg: key 3ADBF810: public key "mycrypt (mycrypt) <mycrypt@gmail.com>" imported
gpg: Total number processed: 1
gpg:               imported: 1

- Public keyring updated. -

File: X:\viruses\shifr\encoder\исследовать\400\111\pubring.gpg
Time: 12.04.2016 21:52:03 (12.04.2016 14:52:03 UTC)
------------------
или так еще:

pub   1024R/3ADBF810 11.04.2016
-------------
uid                  mycrypt (mycrypt) <mycrypt@gmail.com>
sig 3        3ADBF810 11.04.2016  mycrypt (mycrypt) <mycrypt@gmail.com>
12.04.2016 17:54:10, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13163/message92772/ http://forum.esetnod32.ru/messages/forum35/topic13163/message92772/ Tue, 12 Apr 2016 17:54:10 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .id-{*}_repairfiles365@gmail_com в форуме Шифровальщики файлов и подбор дешифраторов.
key.txt содержит публичный ключ gnupg, для расшифровки он не подойдет.
ищите инфо с таким содержанием:
-----BEGIN PGP PRIVATE KEY BLOCK-----


====quote====
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.7 (MingW32)

mI0EVwtYDwEEALbPVgFzNlNfmvFXe9/Kbcq2kDr5WT25KVx4pLCIu6ndp0UD­z0UC
vexfoLYSi9YweRZPzdnXrScbJtio8Rw8c9YDcVyp1k7Ea01sgS3ZYyjWnR2k­eYgT
NUdhZaRJ9aFmE30J5ZqB6vorXPDwxA2XkbQvl+6W1e6+BmlelCLnBnDZABEB­AAG0
JW15Y3J5cHQgKG15Y3J5cHQpIDxteWNyeXB0QGdtYWlsLmNvbT6ItgQTAQIA­IAUC
VwtYDwIbLwYLCQgHAwIEFQIIAwQWAgMBAh4BAheAAAoJED3sKsU62/gQ+I4E­AJoB
afRyyr9RBk52ayTKy91LMMcJ6K4qwbzwnpkTP7TPdF33qRJdPiP8aAP1eJIb­g2lz
O3e8SsnA1nQIQC8v51FP1RbG2YD7IoSm5JQ2wCNR8oHEhHClqPQ0GwMaXAZQ­05s/
SMFyFMz8uhH+fRvfp3Xz8U9apZduuQteILGBhDzA
=zxI6
-----END PGP PUBLIC KEY BLOCK-----
=============
secring.gpg нулевой, поэтому бесполезен для расшифровки... надо искать ненулевой secring.gpg
12.04.2016 17:50:20, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13163/message92771/ http://forum.esetnod32.ru/messages/forum35/topic13163/message92771/ Tue, 12 Apr 2016 17:50:20 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .id-{*}_repairfiles365@gmail_com в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
1.zip уже был в предыдущих сообщениях

по рисунку: пробуйте восстановить то, что выделено на рисунке
только восстановление желательно делать на другой носитель.
=============
Не тот архив вытянул, перезалил, в верху txt файлы, а в 123.zip dll и exe, пасс infected

отправил еще раз, посмотрите отправителя kot@zo2.net.ua
123.zip
1.zip
12.04.2016 17:42:35, Сергей Жало.]]> http://forum.esetnod32.ru/messages/forum35/topic13163/message92770/ http://forum.esetnod32.ru/messages/forum35/topic13163/message92770/ Tue, 12 Apr 2016 17:42:35 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .id-{*}_repairfiles365@gmail_com в форуме Шифровальщики файлов и подбор дешифраторов.
1.zip уже был в предыдущих сообщениях

по рисунку: пробуйте восстановить то, что выделено на рисунке
только восстановление желательно делать на другой носитель.
--------
кстати, в почту мне ничего не пришло.
12.04.2016 17:34:15, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13163/message92769/ http://forum.esetnod32.ru/messages/forum35/topic13163/message92769/ Tue, 12 Apr 2016 17:34:15 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .id-{*}_repairfiles365@gmail_com в форуме Шифровальщики файлов и подбор дешифраторов.
Не могу теперь негде найти iconv.dll(((

Вот что еще нашел

1.zip
key.txt
msg.txt
12.04.2016 17:28:53, Сергей Жало.]]> http://forum.esetnod32.ru/messages/forum35/topic13163/message92768/ http://forum.esetnod32.ru/messages/forum35/topic13163/message92768/ Tue, 12 Apr 2016 17:28:53 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .id-{*}_repairfiles365@gmail_com в форуме Шифровальщики файлов и подбор дешифраторов.
gnupg и iconv.dll - это все что нужно для шифрования файлов.
да выложите их,
и вот на эти файлы тоже интересно глянуть
c:\Windows\Prefetch\ATTRIB.EXE-A990CB86.pf
c:\Windows\Prefetch\CIS.EXE-F3F81C94.pf  (если только это не файл от Комодо)
c:\Windows\Prefetch\CMDUPD.EXE-04AAE8E2.pf
c:\Windows\Prefetch\KEYGEN.EXE-4FE414E3.pf
c:\Windows\Prefetch\RUNDLL32.EXE-B321059F.pf
12.04.2016 17:14:03, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13163/message92767/ http://forum.esetnod32.ru/messages/forum35/topic13163/message92767/ Tue, 12 Apr 2016 17:14:03 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .id-{*}_repairfiles365@gmail_com в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
все таки, проверьте почту менеджеров, что они могли запустить из почты во вчерашний день.

=============
Пользователь BROVARU только в 1С работает, ничего больше не делает

Вот нашел gnupg, там файлы и iconv.dll выложить архив?
По созданным в это время файлам есть c:\Users\office\Documents\кос2015\1Cv8FTxt\changes201604110000­00.log
c:\Windows\Prefetch\1CV7S.EXE-0FA9C8E3.pf
c:\Windows\Prefetch\1CV8.EXE-642834BD.pf
c:\Windows\Prefetch\ATTRIB.EXE-A990CB86.pf
c:\Windows\Prefetch\CIS.EXE-F3F81C94.pf
c:\Windows\Prefetch\CMDUPD.EXE-04AAE8E2.pf
c:\Windows\Prefetch\KEYGEN.EXE-4FE414E3.pf
c:\Windows\Prefetch\PRINTFILTERPIPELINESVC.EXE-1565F6A1.pf
c:\Windows\Prefetch\RUNDLL32.EXE-B321059F.pf
c:\Windows\Prefetch\SOFTWARE_REPORTER_TOOL.EXE-7A4028C5.pf
12.04.2016 16:38:58, Сергей Жало.]]> http://forum.esetnod32.ru/messages/forum35/topic13163/message92766/ http://forum.esetnod32.ru/messages/forum35/topic13163/message92766/ Tue, 12 Apr 2016 16:38:58 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .id-{*}_repairfiles365@gmail_com в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Все ваши документы, фотографии, базы данных и другие файлы были зашифрованы криптостойким алгоритмом с уникальным для вашего ПК ключом.
Если вы хотите убедится в том, что дешифратор для ваших файлов у нас действительно есть, можете прислать нам какой-нибудь зшифрованный файл и мы вернем его оригинал

E-mail для связи с нами *****
=============
все таки, проверьте почту менеджеров, что они могли запустить из почты во вчерашний день.
+ проверьте %temp% юзера, что там осталось со вчерашнего дня в момент начала шифрования
12.04.2016 16:34:49, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13163/message92765/ http://forum.esetnod32.ru/messages/forum35/topic13163/message92765/ Tue, 12 Apr 2016 16:34:49 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .id-{*}_repairfiles365@gmail_com в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
вот эти файлы еще добавьте в собщение, можно в архиве.
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
C:\USERS\BROVARU\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
судя по образу шифрование было вчера
11.04.2016 в 17:19:22
=============
Я все такие файлы по сносил, но эти почему то остались. Шифровка началась в 10:50. Первый файл был создан в это время, в а 17:19 я же сканил все на вирусы. Вообще сижу балдею с людей, все данные тупо на диске С без единого бакапа, спрашиваю сис.админ есть, отвечают что есть, но бакапы настроить не может потому что в 1С 8.2 и два не шарит, шарит только в 7.7
2.zip
1.zip
12.04.2016 16:28:12, Сергей Жало.]]> http://forum.esetnod32.ru/messages/forum35/topic13163/message92764/ http://forum.esetnod32.ru/messages/forum35/topic13163/message92764/ Tue, 12 Apr 2016 16:28:12 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .id-{*}_repairfiles365@gmail_com в форуме Шифровальщики файлов и подбор дешифраторов.
вот эти файлы еще добавьте в собщение, можно в архиве.
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
C:\USERS\BROVARU\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
судя по образу шифрование было вчера
11.04.2016 в 17:19:22
--------
если использовался gpg.exe для шифрования, то поищите файлы pubring.gpg и secring.gpg (в том числе и среди удаленных файлов) если конечно они не были переименованы после создания.
12.04.2016 16:22:46, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13163/message92763/ http://forum.esetnod32.ru/messages/forum35/topic13163/message92763/ Tue, 12 Apr 2016 16:22:46 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .id-{*}_repairfiles365@gmail_com в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
pub &sec key
=============
Так файлы должны называться?
На мыло выслал, лог сюда прикрепил
OFFICE-PC_2016-04-12_15-34-43.TXT
12.04.2016 15:51:46, Сергей Жало.]]> http://forum.esetnod32.ru/messages/forum35/topic13163/message92761/ http://forum.esetnod32.ru/messages/forum35/topic13163/message92761/ Tue, 12 Apr 2016 15:51:46 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .id-{*}_repairfiles365@gmail_com в форуме Шифровальщики файлов и подбор дешифраторов.
да, скиньте карантин avz, несколько файлов с расширением gpg, сделайте образ автозапуска системы (ссылка в моей подписи),
+ проверьте почту менеджеров, которые работали за компов, в том числе и удаленные сообщения, возможно что-то запустили из почты.
(сами они скорее всего не признаются, точнее признаются если им показать, то что они запускали.)

gpg.exe - это скорее всего легальная утилитка от gnuPG, которая и была использована для шифрования.
В этом случае можно попытаться найти pub &sec key, которые создаются в начале шифрования.
С помощью второго можно расшифровать файлы.
12.04.2016 15:10:14, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13163/message92760/ http://forum.esetnod32.ru/messages/forum35/topic13163/message92760/ Tue, 12 Apr 2016 15:10:14 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .id-{*}_repairfiles365@gmail_com в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
похоже GnuPG используют при шифровании.

# off=0 ctb=84 tag=1 hlen=2 plen=140
:pubkey enc packet: version 3, algo 1, keyid 3DEC2AC53ADBF810
   data: [1023 bits]
# off=142 ctb=d2 tag=18 hlen=2 plen=0 partial new-ctb
:encrypted data packet:
   length: unknown
   mdc_method: 2

File: X:\active\shifr\исследовать\730\virus\v1.2.3_NewInConfig_ru.htm.id-{815F73E7}_repairfiles365@gmail_com
-----------
откуда словили? если есть вложение из электронной почты, перешлите в почту  safety@chklst.ru  можно в архиве с паролем infected
=============
Говорят что нечего не запускали. нечего не качали, работали с бухгалтерской программой, когда пошло шифрование был запущен процес gpg.exe и keygen.exe, есть карантин который делал через avz может его кинуть?

Я успел сделать бакап основных данных кроме флешки, сидел вечером колупался и эти два процеса уидел уже когда рабочий стол начал шифроваться около 23:00, вот лоиг МВАМ, могу еще скинуть файл с расширением gpg
МВАМ.txt
12.04.2016 13:33:32, Сергей Жало.]]> http://forum.esetnod32.ru/messages/forum35/topic13163/message92758/ http://forum.esetnod32.ru/messages/forum35/topic13163/message92758/ Tue, 12 Apr 2016 13:33:32 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .id-{*}_repairfiles365@gmail_com в форуме Шифровальщики файлов и подбор дешифраторов.
похоже GnuPG используют при шифровании.

# off=0 ctb=84 tag=1 hlen=2 plen=140
:pubkey enc packet: version 3, algo 1, keyid 3DEC2AC53ADBF810
   data: [1023 bits]
# off=142 ctb=d2 tag=18 hlen=2 plen=0 partial new-ctb
:encrypted data packet:
   length: unknown
   mdc_method: 2

File: X:\active\shifr\исследовать\730\virus\v1.2.3_NewInConfig_ru.htm.id-{815F73E7}_repairfiles365@gmail_com
-----------
откуда словили? если есть вложение из электронной почты, перешлите в почту safety@chklst.ru можно в архиве с паролем infected
12.04.2016 13:31:04, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13163/message92757/ http://forum.esetnod32.ru/messages/forum35/topic13163/message92757/ Tue, 12 Apr 2016 13:31:04 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением .id-{*}_repairfiles365@gmail_com в форуме Шифровальщики файлов и подбор дешифраторов.
Словили сегодня шифровщика, кто что запускал не понятно, зашифровал все что на флешке, диске Д, и кусок диска С. Шифровал все что связано с бухами, ключи банка, электронные подписи, программу для отрпавки отчетов. Такое чувство что я его прервал когда начал базы 1С обновлять.
В архиве пару файлов, пароль virus. Есть варианты расшифровать?
nod32 его не видет, файлы шифруются.
virus.rar зашифрованный файл, пароль virus.
В начале файл становить с расширением gpg, потом он удаляется и вместо него появляется другой

С помоью МВАМ нашел PUP.Optional.PassView Файл D:\Install\!totalcmd\plugins\exe\NhT\PassMaker.exe
virus.rar
12.04.2016 13:16:24, Сергей Жало.]]> http://forum.esetnod32.ru/messages/forum35/topic13163/message92756/ http://forum.esetnod32.ru/messages/forum35/topic13163/message92756/ Tue, 12 Apr 2016 13:16:24 +0300 Шифровальщики файлов и подбор дешифраторов