Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 409 410 411 412 413 414 415 416 417 418 419 ... 1784 След.
зашифровано с расширением .id-{*}_repairfiles365@gmail_com
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.04.2016 05:00:10
это какие то обрезки инфо. приватный ключ по размеру должен быть порядка 1kbytes
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением .id-{*}_repairfiles365@gmail_com
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.04.2016 18:19:55
предположительно js
и еще раз напоминаю - проверьте входящую почту менеджера (если конечно он пользуется например оутлуком или thunderbird), который работал на данном компе за 11апреля. обратите внимание на вложения сообщений

и вот это прочитайте
http://chklst.ru/discussion/1481/vault-chto-delat#latest
Изменено: santy - 12.04.2016 18:21:00
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением .id-{*}_repairfiles365@gmail_com
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.04.2016 18:12:04
Цитата
Сергей Жало написал:
Искать в txt файлах? По идее если был повторый запуск ночью то файл тоже был на пк?
найти бы этих продолжителей, да в лес елку удобрять
можно с помощью winhex искать по содержимому всего диска, если позволяет время.
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением .id-{*}_repairfiles365@gmail_com
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.04.2016 18:10:54
при повторном запуске шифровать будет уже другим ключом.
нужен исходник, тот файл, из которого был запущен процесс шифрования.
возможно это был js, который все что надо выкачал из сети, и запустил процесс шифрования.
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением .id-{*}_repairfiles365@gmail_com
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.04.2016 17:54:10
файлы похоже зашифрованы вот этим ключом.
для расшифровки нужен соответствующий secring.gpg

похоже нашлись продолжатели "славных дел" bat-encoder &vault

gpg: key 3ADBF810: public key "mycrypt (mycrypt) <[email protected]>" imported
gpg: Total number processed: 1
gpg:               imported: 1

- Public keyring updated. -

File: X:\viruses\shifr\encoder\исследовать\400\111\pubring.gpg
Time: 12.04.2016 21:52:03 (12.04.2016 14:52:03 UTC)
------------------
или так еще:

pub   1024R/3ADBF810 11.04.2016
-------------
uid                  mycrypt (mycrypt) <[email protected]>
sig 3        3ADBF810 11.04.2016  mycrypt (mycrypt) <[email protected]>
Изменено: santy - 12.04.2016 18:07:52
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением .id-{*}_repairfiles365@gmail_com
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.04.2016 17:50:20
key.txt содержит публичный ключ gnupg, для расшифровки он не подойдет.
ищите инфо с таким содержанием:
-----BEGIN PGP PRIVATE KEY BLOCK-----

Цитата
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.7 (MingW32)

mI0EVwtYDwEEALbPVgFzNlNfmvFXe9/Kbcq2kDr5WT25KVx4pLCIu6ndp0UD­z0UC
vexfoLYSi9YweRZPzdnXrScbJtio8Rw8c9YDcVyp1k7Ea01sgS3ZYyjWnR2k­eYgT
NUdhZaRJ9aFmE30J5ZqB6vorXPDwxA2XkbQvl+6W1e6+BmlelCLnBnDZABEB­AAG0
JW15Y3J5cHQgKG15Y3J5cHQpIDxteWNyeXB0QGdtYWlsLmNvbT6ItgQTAQIA­IAUC
VwtYDwIbLwYLCQgHAwIEFQIIAwQWAgMBAh4BAheAAAoJED3sKsU62/gQ+I4E­AJoB
afRyyr9RBk52ayTKy91LMMcJ6K4qwbzwnpkTP7TPdF33qRJdPiP8aAP1eJIb­g2lz
O3e8SsnA1nQIQC8v51FP1RbG2YD7IoSm5JQ2wCNR8oHEhHClqPQ0GwMaXAZQ­05s/
SMFyFMz8uhH+fRvfp3Xz8U9apZduuQteILGBhDzA
=zxI6
-----END PGP PUBLIC KEY BLOCK-----
secring.gpg нулевой, поэтому бесполезен для расшифровки... надо искать ненулевой secring.gpg
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением .id-{*}_repairfiles365@gmail_com
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.04.2016 17:34:15
1.zip уже был в предыдущих сообщениях

по рисунку: пробуйте восстановить то, что выделено на рисунке
только восстановление желательно делать на другой носитель.
--------
кстати, в почту мне ничего не пришло.
Изменено: santy - 12.04.2016 17:38:42
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением .id-{*}_repairfiles365@gmail_com
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.04.2016 17:14:03
gnupg и iconv.dll - это все что нужно для шифрования файлов.
да выложите их,
и вот на эти файлы тоже интересно глянуть
c:\Windows\Prefetch\ATTRIB.EXE-A990CB86.pf
c:\Windows\Prefetch\CIS.EXE-F3F81C94.pf  (если только это не файл от Комодо)
c:\Windows\Prefetch\CMDUPD.EXE-04AAE8E2.pf
c:\Windows\Prefetch\KEYGEN.EXE-4FE414E3.pf
c:\Windows\Prefetch\RUNDLL32.EXE-B321059F.pf
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением .id-{*}_repairfiles365@gmail_com
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.04.2016 16:34:49
Цитата
Все ваши документы, фотографии, базы данных и другие файлы были зашифрованы криптостойким алгоритмом с уникальным для вашего ПК ключом.
Если вы хотите убедится в том, что дешифратор для ваших файлов у нас действительно есть, можете прислать нам какой-нибудь зшифрованный файл и мы вернем его оригинал

E-mail для связи с нами *****
все таки, проверьте почту менеджеров, что они могли запустить из почты во вчерашний день.
+ проверьте %temp% юзера, что там осталось со вчерашнего дня в момент начала шифрования
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением .id-{*}_repairfiles365@gmail_com
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.04.2016 16:22:46
вот эти файлы еще добавьте в собщение, можно в архиве.
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
C:\USERS\BROVARU\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
судя по образу шифрование было вчера
11.04.2016 в 17:19:22
--------
если использовался gpg.exe для шифрования, то поищите файлы pubring.gpg и secring.gpg (в том числе и среди удаленных файлов) если конечно они не были переименованы после создания.
Изменено: santy - 12.04.2016 16:24:03
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 409 410 411 412 413 414 415 416 417 418 419 ... 1784 След.