Jump to content
djvini

Новый вирус шифровальщик или что?

Recommended Posts

Добрый день.

Прошу помощи в решение следующей проблемы.

14.03.2012 г. на компьютере был обнаружен неизвестный вирус, который зашифровал файлы с расширением doc, xls, jpg и др.

Также зашифрован контейнер базы 1С 8.2 (расширение 1СD).

Шифрованные файлы имеют расширение .rsa1024

Причем в основном зашифрованны те файлы, которые часто использовались в сети (папка расшарена).

Архивы тоже зашифрованы, но после переименования расширения и восстановления архива файлы можно извлечь.

 

В каждой паке, где лежат зашифрованные файлы, есть файлик HOW TO DECRYPT FILES.txt следующего содержания:

 

If you read this message,then your PC is attacked, and your`s important files(photos,documents etc.) are crypted with RSA1024 algorithm.

Nobody can help you without our program. If you want recover your`s files,

send e-mail to the1024rsa@i2pmail.org with "how to decrypt.txt" and follow the instruction.

Threats will only worsen your condition. You can watch this video for example

 

9E46DBDE496C08D4F3318BB367FAA41D2CA4CB99122B0ED533CAD0171E6147390D63B4A248FD4F74

A3F4C91F994D53313C576970E2D666981C3CD2F3023B3226

33C208185E41018F52BDCEC976F2ED79BD5985DACA5453C15107D9EC593791EA549EDEAB85D3546F

FEEB2B84FE1038E7B97AF37B157DB19FE475F23A80EB5829

 

Никаких окон на рабочем столе не появлялось. И других файлов в корне диска С тоже.

 

Пробывал утилитами с данного сайта, также утилитами от Drweb. Ничего не помагло.

Также и восстановление удаленных данных не помогло. Пользовался Photorec, GetDataBack for NTFS и другими утилитами для восстановления удаленных данных.

Я прикрепил архив Winrar с двумя зашифрованными файлами внутри. Один .doc, другой .jpg

А также сам файлик: HOW TO DECRYPT FILES.txt

 

Надеюсь на Вашу помощь.

files.rar

HOW_TO_DECRYPT_FILES.txt

Share this post


Link to post

Скорее всего разновидность GpCode. Без шансов

Share this post


Link to post

Я представляю компанию, которая уже третий год пользуется корпоративной версией продукта.

Сделал запрос через личный кабинет корпоративных пользователей.

Но автоматический ответ с присвоением номера заявки почему-то пока не пришел.

Share this post


Link to post

При беглом осмотре файлов видно, что скорее всего используется симметричный шифр или что-то типа XOR'а. Более того, нижняя часть файлов вообще не шифрована (? пример - .doc-файл). Мой знакомый высказал предположение, что это м.б. симметричное шифрование с ключем, зашифрованным RSA. Однако, для более точной информации необходим более детальный анализ файлов и, желательно, экземпляра этого вредоноса.

Share this post


Link to post

Спасибо, хоть за какую-то информацию.

Данные очень важны, особенно база 1С. Вы сможете подсказать, что надо сделать? Ведь как я понимаю вирус, как и многие другие его вариации, самоликвидировался после шифрования файлов.

Дело в том что диск я вытащил и подключил как внешнее устройство на другой комп, чтобы провести все манипуляции по восстановлению файлов (как предлагают в интернете)

Share this post


Link to post

:dash1: Почему,когда у вас болит голова,вы идёте к врачу,а не к адвокату? Потому,что он знает как лечить. В данном случае вы идёте к адвокату.Я понимаю,что Вы уже заплатили адвокату,но он не в состоянии помочь. Вот Ваши файлы,пишите.

sample.zip

Share this post


Link to post

и что? где гарантия, что открыв данный архив, я не получу еще один вирус?

Share this post


Link to post
:dash1: Почему,когда у вас болит голова,вы идёте к врачу,а не к адвокату? Потому,что он знает как лечить. В данном случае вы идёте к адвокату.Я понимаю,что Вы уже заплатили адвокату,но он не в состоянии помочь. Вот Ваши файлы,пишите.

 

Это ваша поделка?

Share this post


Link to post

myr.beliasch

 

Файлы в архиве оказались верны.

Куда писать или как с Вами дальше обсуждать?

Share this post


Link to post
myr.beliasch

 

Файлы в архиве оказались верны.

Куда писать или как с Вами дальше обсуждать?

прочитайте первый пост в этой теме :bravo: (там где буквы не русские)

Edited by myr.beliasch

Share this post


Link to post

Понятно, т.е. предлагаете писать Вам на the1024rsa@i2pmail.org и платить 100 евро.

Цены однако поднимаются по сравнению с предыдущими "шифровальщиками".

И к томуже не факт, что я получу желаемое.

Share this post


Link to post

Сколько Вы заплатили за антивирус? Как вы думаете,почему я с Вами тут беседу веду? Адьё.мон ами,Вы непроходимы ..... продолжайте без меня.

Share this post


Link to post

Граждане, словил точно такую же бяку, работа стоит, что делать? Есть возможные решения данной заразы?

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.