Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
Если запрещаем конечный файл: C:\DOCUME~1\\LOCALS~1\Temp\sdelete.exe (утилита безвозвратного удаления файлов) Файлы шифруются но оригиналы не удаляются, и папка C:\Documents and Settings\%USERNAME%\Application Data\gnupg остается полной.
Нельзя использовать правила с запросом. Не корректно блокируются действия при запросе (т.к. необходимо указывать все системные приложения, с которыми взаимодействует вирус)
На Касперском пострадавший выложил шифровальщика, куда скинуть? Весит всего 1,4 Кб использует C:\WINDOWS\system32\wscript.exe работает через .js (Java) зашифровывает документы и изображения на всех жестких дисках и флешках.
Обработчик команд Windows: C:\WINDOWS\system32\wscript.exe Утилита редактирования системного реестра из командной строки: C:\WINDOWS\system32\reg.exe Microsoft ® Windows Based Script Host: C:\WINDOWS\system32\cmd.exe Attribute Utility: C:\WINDOWS\system32\attrib.exe Служебная программа для поиска строк (QGREP): C:\WINDOWS\system32\findstr.exe Change CodePage Utility: C:\WINDOWS\system32\chcp.com Принудительное завершение процесса: C:\WINDOWS\system32\taskkill.exe
Возможно ключ или создание ключа: C:\Documents and Settings\%USERNAME%\Local Settings\Temp\keybtc.exe Поддельный системный файл: C:\Documents and Settings\%USERNAME%\Local Settings\Temp\svchost.exe Поддельный системный файл: C:\Documents and Settings\%USERNAME%\Local Settings\Temp\taskmngr.exe Файл подчистки, возможно удаления оригинальных файлов: C:\Documents and Settings\%USERNAME%\Local Settings\Temp\sdelete.exe (утилита безвозвратного удаления файлов) Какой-то тунель: C:\Documents and Settings\%USERNAME%\Local Settings\Temp\stunnel.exe (stunnel - multiplatform SSL tunneling proxy) bitdata.cmd + keyb.cmd
Скан-копии счетов.zip Счета н.12, н.124 - ЗАО НПО Берег - поставка противопожарного оборудования (систем) - рукава, огнетушители, системы пожаротушения от 10.2014.dосх .js
Скрытый текст
Цитата
Внимание. Ваши документы, фото, базы данных, а также другие важные файлы, были зашифрованы при помощи криптостойкого алгоритма RSA-1024.
1. Компьютер зашифрован
1.1. К сожалению, Вы стали жертвой вируса-шифровальщика. 1.2. Проведем паралель работы вируса-шифровальщика на примере материального предмета (=Вашего файла) - Вирус берет Ваш чемодан с документами. - Используя 1024 битный ключ выполняет его шифрование(это не кладет его под замок-оболочку, нет). - Вирус перетирает содержимое в пыль, фактически затирая и перезаписывая каждый байт данных при помощи уникального ключа - Вы сможете из пыли собрать чемодан с документами? Нет. - Восстановить данные можно имея только специальный ключ, который содержится у нас в базе.
2. Подробнее
2.1. Каждый компьютер/пользователь имеет свой уникальный ключ (KEY.PRIVATE) и дополнительный файл-идентификатор (UNIQUE.PRIVATE) 2.2. Для восстановления всех Ваших данных нужны только эти два файла. 2.3. Все гарантии дешифрования Вы получите в процессе работы с автоматизированной системой [email protected] 2.4. Ваш случай - ассиметричное шифрование RSA-1024, используется в военной сфере. Подобрать/взломать его невозможно. При шифровании, в разные места компьютера был скопирован 'KEY.PRIVATE' и специальный ID-файл 'UNIQUE.PRIVATE'. Не потеряйте их ()
3. Решение вопроса
3.1. У Вас есть 2 варианта: - если данные важны - делаем запрос на дешифрование. Вполне разумное решение - если данные не важны - форматируем диск Не стоит ждать появления универсального дешифратора от антивирусных лабораторий. Беспокоимся про ограниченные сроки годности Вашего ключа. 3.2. Ваши ресурсы, необходимые для быстрого решения вопроса: - KEY.PRIVATE - UNIQUE.PRIVATE - Несколько зашифрованных файлов с расширением .keybtc@gmail_com 3.3. Без вышеперечисленных составляющих дешифровка не представляется возможной.
4. ГАРАНТИИ восстановления, а также пошаговая инструкция.
4.1. Автоматизированная система KEYBTC построена таким образом, что она учитывает Ваши интересы в получении гарантий. - Вы получаете гарантии от нас. Система демонстрирует, что Ваши файлы подлежат восстановлению. Для этого Вы отправляете два зашифрованных файла с расширением keybtc@gmail_com нам на почту. В ответ, Вы получите два тестовых расшифрованных файла и дальнейшие шаги. Тестовое дешифрование предоставляет Вам гарантию того, что мы можем дешифровать файлы.
- Вы получаете гарантии людей, кто уже работал с нами и восстановили данные. В нашем Твиттер аккаунте система автоматически публикует e-mail покупателей. Можете написать письмо, поинтересоваться.
4.2. При подаче нам запроса, для определения стоимости и предоставления гарантий, необходимо отправить нам следующее: - вложение к письму без архива: KEY.PRIVATE - вложение к письму без архива: UNIQUE.PRIVATE - [по желанию] тестовый зашифрованный файл с расширением .keybtc@gmail_com не более 3МБ - [по желанию] 2-й тестовый зашифрованный файл с расширением .keybtc@gmail_com не более 3МБ. Более 2-х файлов не отправляйте. Для демонстрации дешифрования этого достаточно. - Система определит, если Вы решите проявить хитрость и подменить расширение с xls на doc. Стоимость резко вырастет.
4.3. Тестовое дешифрование разрешено ТОЛЬКО следующих типов файлов: (JPG, JPEG, PDF, DOC, DOCX) и НЕ БОЛЕЕ 3 мегабайт за файл. 4.4. ВАЖНО. XLS, базы 1C и пр важные документы по понятным причинам не дешифруются для демонстрации. При получении дешифратора они будут восстановлены, как и остальные файлы. 4.5. АВТООТВЕТЧИК: [email protected]
5. Другие моменты
5.1. Если в течение длительного времени Вы не получите ответа - напишите с другой почты. 5.2. После приобретения ключа, сделайте копию всех важных зашифрованных файлов на внешние носители. 5.3. В процессе дешифрования желательно не трогать компьютер, () ДВА раза запускать с ключем дешифратор не нужно. 5.4. Сам процесс дешифрования происходит в скрытом режиме (обычно до 6-ти часов) 5.5. Если думаете, что вместо дешифратора Вы получите очередной вирус, тогда поставьте виртуальную систему и там проведите дешифровку. 5.6. Если какие-то файлы не будут окончательно расшифрованы, читайте FAQ 5.7. После дешифрования все оригинальные имена файлов восстанавливаются 5.8. Во время работы Вы получите дополнительные инструкции по почте. 6. FAQ (Вопрос-Ответ)
[-] Где найти KEY.PRIVATE и UNIQUE.PRIVATE = При начале работы ПО, KEY.PRIVATE копируется в несколько мест, дабы Вы его не удалили где-то = Без файла KEY.PRIVATE дешифровка невозможна. Он может находится по след. путям: Корни дисков, папка APPDATA, папка TEMP = Программа дешифрвщик будет идти вместе с ключем и инструкцией [-] Я не могу найти KEY.RPIVATE и UNIQUE.PRIVATE. = Возможно это сетевой диск, поищите в папках C:\Users\vitalii\AppData\Roaming на всех компьютерах сети
[-] А если мне нужно только 1 файл дешифровать и все? А у меня 50 тыс ненужных?? = К сожалению, у Вас есть выбор или дешифровать все, или ничего. [-] ОЧЕНЬ ВСЕ СЛОЖНО КАК-ТО, я ничего не понимаю = Процедура очень проста. 1. Ваши файлы зашифрованы. Расшифровать можем только мы. Для получения стоимости и гарантий отправьте нам письмо с KEY и UNIQUE. Посетите Twitter 2. При отправке запроса, Нашли KEY.PRIVATE и UNIQUE.KEY на своем ПК, взяли пару зашифрованных файлов - отправили автоответчику [email protected] 3. Через некоторое время получаете автоматический ответ с гарантиями, инструкцией и стоимостью 4. Получаете ключ дешифрования после оплаты, ПО и инструкцию по дешифрованию
7. НОВОСТИ И ГАРАНТИИ
7.1. Проводится небольшой набор партнеров. Подробнее ищите в Интернете или пишите на почту [email protected] 7.2. Обращаем внимание, система работает в Автоматическом режиме Начиная от обработки запросов и заканчивая отправкой Ваших ключей из базы. 7.3. Новостная лента, а также ГАРАНТИИ (почты покупателей) в Твиттере: - пишите им, интересуйтесь. Много корпоративных почт.
Document Settings нужно сокращать в DOCUME~1 Application Data нельзя сокращать в APPLIC~1 Local Settengs нужно сокращать в LOCALS~1
Доступ к этим файлам не получит ни одно приложение, где бы оно не было. И само приложение не сможет создать файлы в этих папках.
Не хватает возможности использовать маску *.gpg тогда было бы намного серьезнее. Еще лучше если во всей папке Temp или Application Data запрещать маски *.gpg
Нашел исходную программу Gpg4win Файлы она хранит здесь: C:\Documents and Settings\Virlab\Application Data\gnupg\pubring.gpg и pubring.gpg.lock C:\Documents and Settings\Virlab\Application Data\gnupg\secring.gpg и secring.gpg.lock
Это если устанавливать программу. Вирусный файл в другом месте держит файлы. В общем если указать эти файлы, файлы не шифруются.
Выбирать эти файлы исходным приложением, не работает. Работает указание конечным приложением: C:\Documents and Settings\Virlab\Application Data\gnupg\pubring.gpg C:\Documents and Settings\Virlab\Application Data\gnupg\secring.gpg
Как я понял вся суть работы шифровальщика, получить команды в cmd и затем через него шифровать и удалять не шифрованные исходные файлы.
