Эскулап 290 Опубликовано: 29 августа, 2012 Привет всем. Вчера контора кента по почте получила письмо следующего содержания: Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом. Вся Ваша информация (документы, фильмы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024. Восстановить файлы можно только при помощи специальной программы. Чтобы её получить, Вам необходимо написать нам письмо на адрес [email protected] К письму прикрепите файл "HOW TO DECRYPT FILES.TXT". Письма с угрозами будут угрожать только Вам и Вашим файлам! НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы! Эта дрянь зашифровала все базы данных 1С, все архивы, все документы офиса, фото... Поймать тело самого виря не может ни один антивирус. Прошу не сыпать соль на рану моему кенту и мне и не говорить про сохранённые базы 1с (((( его дура-сотрудница этого не делала, о чем сообщила всем только вчера утром, есессьна ((((( 5 лет как-то проносило ((( В чем, собственно, мой вопрос. Те "гении", которые заслали эту дрянь, просят ни много ни мало - десятку рублями за декриптор... Так вот. Если кто-то сталкивался - они шлют этот дешифратор или ваще просто тупо разводят?!?... Вопрос номер два - может кто-то имеет такой декриптор на версию вируса GpCode этого года? Можно поделиться за деньги в случае успеха операции... Со многими я уже связался и мне сказали, что слышали про такое и решили все, восстановив базы из архивов... Печаль (( Спасибо за ответы. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
NeonicK 426 Опубликовано: 29 августа, 2012 Возможно тут не шифровка, а замена пути файла. Давно скачал вирус с почты,не опознавал ни один антивирусник. Мне знакомый прислал по почте с надписью "Вирус, хочешь протестируй". Ну мне стало интересно и я запустил его на машине. Так эта зараза переписала пути к файлам изображения,музыка,видео. В итоге открываешь любую картинку и все время выскакивает картинка с челюстями акулы и надписью "В следующей волне тут можеть быть Ваша реклама", запускаешь музыку-одна и таже - рок с названием "тут может быть Ваша реклама" видео тоже с названием про рекламу. Так что вполне возможно никакой шифровки не было, просто пути надо исправить к файлам, как это сделать ХЗ, надо капать инет. Чтобы зашифровать файлы по RCA то нужен очень мощный комп и определенное время. Но я понимаю в данной ситуации шифрование было моментальным... Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Warlord 16 446 Опубликовано: 29 августа, 2012 http://support.kaspersky.ru/faq/?qid=208636064 Зашифрованные Gpcode.ak файлы в настоящее время расшифровать невозможно. Тем не менее, используя утилиту PhotoRec, можно восстановить исходные файлы, которые были удалены вредоносной программой после создания их зашифрованных копий.Утилита может восстановить документы Microsoft Office, исполняемые файлы, PDF и TXT документы, а также различные файловые архивы и файлы других форматов. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Эскулап 290 Опубликовано: 29 августа, 2012 Да как раз удаленные не интересуют ( Надо зашифрованные восстановить... Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
maxho_jk 257 Опубликовано: 29 августа, 2012 которые были удалены вредоносной программой ПОСЛЕ создания их зашифрованных копий. Эскулап, ты наверно не внимательно прочитал? После шифрования вирус удалил оригиналы, следовательно ты можешь восстановить именно эти оригиналы. 2 Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
sharky 545 Опубликовано: 25 марта, 2013 тоже схватили эту хрень ((( но благо повезло были свежие бэкапы Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Warlord 16 446 Опубликовано: 25 марта, 2013 тоже схватили эту хрень ((( но благо повезло были свежие бэкапы а бэкапы он не зашифровал? Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
sharky 545 Опубликовано: 25 марта, 2013 а бэкапы он не зашифровал? у меня много бэкапов ))) на два компа делаются, не считая тех что делает хранитель Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
crafter 188 Опубликовано: 25 марта, 2013 А вот интересно ,шифрование RSA дорогоресурсная операция, неужели шифрование на лету фото ,архивов, БД осталось незамеченным? Возможно там все же не шифрование ,а к примеру просто порча заголовка файла? Можно попробовать проверить на каком нибудь маленьком архиве прошедшим через такой "криптор". Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
sharky 545 Опубликовано: 25 марта, 2013 А вот интересно ,шифрование RSA дорогоресурсная операция, неужели шифрование на лету фото ,архивов, БД осталось незамеченным? Возможно там все же не шифрование ,а к примеру просто порча заголовка файла? Можно попробовать проверить на каком нибудь маленьком архиве прошедшим через такой "криптор". хочешь поделиюсь каким нибудь файлом? Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
sharky 545 Опубликовано: 25 марта, 2013 А вот интересно ,шифрование RSA дорогоресурсная операция, неужели шифрование на лету фото ,архивов, БД осталось незамеченным? Возможно там все же не шифрование ,а к примеру просто порча заголовка файла? Можно попробовать проверить на каком нибудь маленьком архиве прошедшим через такой "криптор". есть подозрение что шифровалось все в субботу когда никто не работал Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
crafter 188 Опубликовано: 25 марта, 2013 хочешь поделиюсь каким нибудь файлом? А есть какой нибудь небольшой, с известным содержанием. Т.е. копия файла ,до его криптования. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
sharky 545 Опубликовано: 25 марта, 2013 есть кажись завтра смогу скинуть Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
crafter 188 Опубликовано: 25 марта, 2013 Соответственно 2 файла ,до и после. Бросай ,поковыряюсь. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
sharky 545 Опубликовано: 25 марта, 2013 оки Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
sharky 545 Опубликовано: 25 марта, 2013 мыло в личку напиши Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Эскулап 290 Опубликовано: 26 марта, 2013 Тема поднялась? К сожалению, конечно... Не помню говорил я или нет, но пОсОны, которые рассылают письмецо с кодом честно за указанную сумму и по тем данным, которые указаны в письме присылают декрипотр... Другими словами, один из Бендеровских способов зарабатывания денег ... Не самое хорошее дело стимулировать подобный бизнес, но бывает без вариантов....... Моя ситуация в прошлом году разрешилась относительно благополучно, благодаря приходящему очень редко челу, который админил офисы .... Он просто тупо взял и на всякий случай слил базы... Т.е. сделал то, что надо ежедневно всем делать и чего милые длинноногие белокурые тётеньки не делали НИКОГДА ((((( Проучены... Осознали... Бэкапят ))) Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
lol 378 Опубликовано: 26 марта, 2013 А заяву накатать не пробовали? Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
crafter 188 Опубликовано: 26 марта, 2013 оки Я не супер спец в шифровании ,но при беглом просмотре вижу что RSA там и в помине нет. Структура документа сохранена ,половина документа вообще нетронута ,вторая побита на блоки по 16 байт и возможно каждый блок прохэширован ,а в лучшем случае зашифрован каким то простеньким алгоритмом. Дай еще пару подобных файлов возможно алгоритм прост и удастся найти закономерность. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
sharky 545 Опубликовано: 26 марта, 2013 Я не супер спец в шифровании ,но при беглом просмотре вижу что RSA там и в помине нет. Структура документа сохранена ,половина документа вообще нетронута ,вторая побита на блоки по 16 байт и возможно каждый блок прохэширован ,а в лучшем случае зашифрован каким то простеньким алгоритмом. Дай еще пару подобных файлов возможно алгоритм прост и удастся найти закономерность. завтра скину )) Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
sharky 545 Опубликовано: 26 марта, 2013 Тема поднялась? К сожалению, конечно... Не помню говорил я или нет, но пОсОны, которые рассылают письмецо с кодом честно за указанную сумму и по тем данным, которые указаны в письме присылают декрипотр... Другими словами, один из Бендеровских способов зарабатывания денег ... Не самое хорошее дело стимулировать подобный бизнес, но бывает без вариантов....... Моя ситуация в прошлом году разрешилась относительно благополучно, благодаря приходящему очень редко челу, который админил офисы .... Он просто тупо взял и на всякий случай слил базы... Т.е. сделал то, что надо ежедневно всем делать и чего милые длинноногие белокурые тётеньки не делали НИКОГДА ((((( Проучены... Осознали... Бэкапят ))) ставиться cobian настраивается один раз и все Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
crafter 188 Опубликовано: 27 марта, 2013 Вообщем поковырял немного ,но практически безрезультатно. 1. Файлы зашифрованы не полностью. 2. Зашифрованная часть разбита на блоки по 16 байт. 3. В конце файл дополнен 12 тью байтами ,что то вроде метки. 4. Файлы зашифрованы на одном ключе 5. Шифр не из простых, гуглением по теме понял что это что то на подобие RC4 ,RC6 или их модификации, к примеру http://www.wasm.ru/forum/viewtopic.php?pid=426352 Вот описание похожей проблемы http://habrahabr.ru/post/159811/ ,если кто сможет достать тело одолевшей его заразы ,могу попробовать повторить подвиг автора, по крайне мере попытаться. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах