Показано с 1 по 13 из 13.

Информация по .ARRESTED (заявка № 141324)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    01.07.2013
    Сообщений
    7
    Вес репутации
    13

    Информация по .ARRESTED

    Извините, что создал новую тему. Но в продолжение http://virusinfo.info/newthread.php?do=newthread&f=46
    Хочу добавить, на сервере велся лог действий пользователя, я нашел под кем заходили, и вот лог, в приложении.
    Если коротко то:
    1) Зашли по RDP под пользователем (не известно как узнали пароль)
    2) Скачали с [удалено]
    3) Пароль от архива 78954123 (вводили вручную)
    4) Архив на всякий случай тоже прилагаю.
    Очень надеюсь , что данная информация поможет найти способ дешифровать файлы PDF файл не могу приложить, т.к. он весит 5мб
    Последний раз редактировалось thyrex; 01.07.2013 в 20:21.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    326
    Уважаемый(ая) Дмитрий Брик, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,463
    Вес репутации
    2914
    Увы, как и предполагалось, пароль для шифрования вводился вручную.
    Спасет только покупка дешифратора у злоумышленников
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  5. #4
    Junior Member (OID) Репутация
    Регистрация
    01.07.2013
    Сообщений
    7
    Вес репутации
    13
    Возможно у меня есть ключ для дешифровки, перед каждой вставкой из буфера текста с угрозами, предшествовало 2 вставки: 1 - это тот код который указан в тексте, и 2 - который я подозреваю что ключ для дешифровки.

    Можно ли как то расшифровать, имея ключ для дешифровки?

    - - - Добавлено - - -

    Вот кусок лога, таких подобных штуки 4 за 1 день
    Соответственно я думаю, что если придется платить то платить 4 раза
    В первом посте прилагалась программа, которая шифровала файлы, может быть можно отловить алгоритм или еще чего

    10 30.06.2013 20:02:16
    Программа: Проводник - C:\Windows\explorer.exe
    Заголовок окна: Program Manager
    Буфер Обмена:
    Здравствуйте!
    Ваш компьютер был атакован опаснейшим вирусом!
    Вся Ваша информация, включая базы данных, документы, бэкапы, и прочие файлы была зашифрована при помощи
    криптостойких алгоритмов.
    Все зашифрованные файлы имеют расширение .ARRESTED
    Восстановить файлы можно только при помощи дешифратора и пароля, который, в свою очередь, знаем только мы.
    Подобрать его невозможно. Переустановка ОС ничего не изменит.
    Ни один системный администратор в мире не решит эту проблему не зная пароля.
    Ни в коем случае не изменяйте файлы! А если решились, то сделайте резервные копии.
    Напишите нам письмо на адрес razshifrovkin@live.com (в случае если вам не ответили в течение 12 часов, то
    продублируйте письмо на почту razshifrovkin@tormail.org) для получения дальнейших инструкций.
    Мы расшифруем один абсолютно любой файл .ARRESTED для вас бесплатно (кроме баз данных, за которые, собственно,
    вы нам и платите)
    Для этого прикрепите его и файл "ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT"
    Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.
    Среднее время ответа специалиста 1-12 часов.
    К письму прикрепите файл "ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT".
    Письма с угрозами ни к чему хорошему вас не приведут.
    НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
    ==========================================
    bXkEB8sKWk7CarVF2hn4N78bU77RaStM
    ==========================================
    11 30.06.2013 20:02:09
    Программа: Проводник - C:\Windows\explorer.exe
    Заголовок окна: Program Manager
    Буфер Обмена:
    bXkEB8sKWk7CarVF2hn4N78bU77RaStM
    12 30.06.2013 20:01:57
    Программа: Проводник - C:\Windows\explorer.exe
    Заголовок окна: Program Manager
    Буфер Обмена:
    kRIkbEB6x2oPApGW3eZftGgNeAHRih4M
    Последний раз редактировалось thyrex; 02.07.2013 в 12:25.

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,463
    Вес репутации
    2914
    Алгоритм шифрования известен - это Blowfish. Неизвестен алгоритм преобразования одной строки в другую (если он вообще существует)

    - - - Добавлено - - -

    Алгоритм шифрования известен - это Blowfish. Неизвестен алгоритм преобразования одной строки в другую (если он вообще существует)
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member (OID) Репутация
    Регистрация
    01.07.2013
    Сообщений
    7
    Вес репутации
    13
    Я Вас понял, но у меня ЕСТЬ строка для дешифрования, отловленная перехватчиком буфера обмена.
    Я попробовал программы, для дешифрования blowfish а. Некоторые даже не определяют файл как blowfish.

    Можете попробовать расшифровать файл? Либо зашифровать исходный файл и сравнить его с зашифрованным? У меня не получается.

    Исходный файл и зашифрованный в приложении, ключи:
    pYmGJ1QdOjfKhIviglEDK31AOt7Ai9mD (открытый, который пишут в TXT)
    tjavaIq72NRNRuRwkldOpJewqRWqXors (закрытый, отловленный перехватчиком)

    пароль к архиву
    123
    Вложения Вложения

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,463
    Вес репутации
    2914
    Вопрос: что-либо еще постороннее запускалось злоумышленником? Или это отследить невозможно?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    Junior Member (OID) Репутация
    Регистрация
    01.07.2013
    Сообщений
    7
    Вес репутации
    13
    Да были какие то запросы типа IP@login;password. у меня есть pdf файл, с полным логом что делали, но я не могу его прикрепить, т.к. он 5 мб

    Точнее не запросы, а запись в буфер обмена.
    Последний раз редактировалось Дмитрий Брик; 03.07.2013 в 11:17. Причина: Дополнение

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,463
    Вес репутации
    2914
    Выложите на rghost.ru и пришлите ссылку

    - - - Добавлено - - -

    После скачивания я ссылку из поста уберу
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. #10
    Junior Member (OID) Репутация
    Регистрация
    01.07.2013
    Сообщений
    7
    Вес репутации
    13
    [удалено]

    Хронологическая последовательность снизу вверх

  12. #11
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,463
    Вес репутации
    2914
    Мда, пароли конечно у Вас слишком простые. Отсюда и взлом.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  13. #12
    Junior Member (OID) Репутация
    Регистрация
    01.07.2013
    Сообщений
    7
    Вес репутации
    13
    За пароли админ уже получил люлей, но слава богу удалось расшифровать файлы.

    Похоже не трогаются файлы в program files, windows, documents and settings (users)

  14. #13
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,463
    Вес репутации
    2914
    Цитата Сообщение от Дмитрий Брик Посмотреть сообщение
    не трогаются файлы в program files, windows
    Здесь точно не трогаются
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  • Уважаемый(ая) Дмитрий Брик, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Файлы зашифрованы (.ARRESTED)
      От john210580 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 02.07.2013, 01:10
    2. .ARRESTED
      От Agrael в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 02.07.2013, 01:08
    3. Зашифрованые файлы (.ARRESTED)
      От DrUsama в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 02.07.2013, 01:06
    4. Зашифрованы файлы и БД 1С ( .ARRESTED)
      От santi11 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.07.2013, 17:13

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00022 seconds with 21 queries