Файлы зашифрованы (расширение .ARRESTED)

[thyrex]

С 29.06.2013 на форумах по информационной безопасности зарегистрирован всплеск обращений с очередным шифровальщиком, после работы которого файлы получают дополнительное расширение .ARRESTED

При этом на компьютере создается текстовый файл следующего содержания:

Здравствуйте!
Ваш компьютер был атакован опаснейшим вирусом!
Вся Ваша информация, включая базы данных, документы, бэкапы, и прочие файлы была зашифрована при помощи криптостойких алгоритмов.
Все зашифрованные файлы имеют расширение .ARRESTED
Восстановить файлы можно только при помощи дешифратора и пароля, который, в свою очередь, знаем только мы.
Подобрать его невозможно. Переустановка ОС ничего не изменит.
Ни один системный администратор в мире не решит эту проблему не зная пароля.
Ни в коем случае не изменяйте файлы! А если решились, то сделайте резервные копии.
Напишите нам письмо на адрес [email protected] (в случае если вам не ответили в течение 12 часов, то продублируйте письмо на почту [email protected]) для получения дальнейших инструкций.
Мы расшифруем один абсолютно любой файл .ARRESTED для вас бесплатно (кроме баз данных, за которые, собственно, вы нам и платите)
Для этого прикрепите его и файл "ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT"
Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.
Среднее время ответа специалиста 1-12 часов.
К письму прикрепите файл "ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT".
Письма с угрозами ни к чему хорошему вас не приведут.
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!

<><><><><><><><><><><><><><><><><><><><><>
69KpIIAIt42v9U2oLPTtKLyy7CbBUEoE (произвольный буквенно-цифровой набор)
<><><><><><><><><><><><><><><><><><><><><>

Это очередная разновидность шифровальщика Vandev (по классификации Лаборатории Касперского).
Шифровальщик, как и в более ранних версиях, использует алгоритм шифрования Blowfish.
Шифрование происходит следующим образом:
1) на компьютер пользователя попадает бэкдор, который открывает удаленный доступ к компьютеру через RDP
2) злоумышленник в удобное для него время заходит на компьютер, вручную запускает шифрование с произвольным ключом

Вывод: расшифровать файлы, не зная ключ, НЕВОЗМОЖНО. Если информация очень ценная, остается только один вариант - платить злоумышленнику, как бы это не способствовало его "бизнесу"
Как правило, подобные "бизнесмены" просят прислать зашифрованный файл, чтобы пользователь мог убедиться в наличии дешифратора, а после оплаты присылают и всю информацию для расшифровки (вместе с дешифратором)

P.S. Специалисты из вирлабов рекомендуют обращаться сразу в полицию

[zlodei1988]

Получается, что на всех зараженных компьютерах зашифровано с помощью одного и того же шифровальщика, соответственно и ключ один для каждой системы?

[thyrex]

Файл-шифровальщик один и тот же.Ключ шифрования уникальный для каждой системы.

[T0PT]

Подскажите есть ли лекартсво от .ARRESTED
тут ftp://ftp.drweb.com/pub/drweb/tools/
Спасибо

[zlodei1988]

Кому нибудь помогло скажите плиз! Без ключей запускать? и какой запускать?

- - - Добавлено - - -

Кому нибудь помогло скажите плиз! Без ключей запускать? и какой запускать?

[T0PT]

пока без результатно

[thyrex]

T0PT
С форума DrWeb

Здравствуйте!

Да, нам знакомы подобные инциденты. На данный момент решения нет, т.е. расшифровка нашими силами к сожалению невозможна.
В данном случае была произведена целенаправленная атака (с подбором пароля, через слабозакрытые средства удаленного администрирования, в первую очередь - RDP), и защитить от такой атаки, к сожалению, не в состоянии ни один антивирус (т.к. это обычный вход пользователя в систему, о вирусе не идет речь). Единственным надёжным средством защиты от потери информации при таких атаках является регулярное резервное копирование ценных данных на носители, недоступные для изменения штатными средствами Windows. Дополнительно это копирование защитит от потери информации в случае сбоев самой операционной системы и при выходе жёсткого диска компьютера из строя.
Если к пострадавшему компьютеру есть доступ из Интернета по RDP, то либо закройте этот доступ, либо ужесточите правила доступа, потому что последние полгода-год злоумышленники очень часто стали использовать для атаки этот канал.

Единственным способом воздействия является обращение в РО МВД с заявлением о совершении преступления, только тогда появится шанс поймать злоумышленника.


С уважением,
**********
Cлужба технической поддержки компании "Доктор Веб".

[C0D3X]

Такая же ситуация зашифровались файлы БД 1С, ЭОН, некоторые картинки и еще какие-то файлы. Общение с лабораторией касперского результата не дала пришлось отправит письмо этим "товарищам" с вопросом сколько будет стоит освобождение от них... мда ужжжж

[thyrex]

C0D3X, все предельно ясно написано в первом сообщении

[C0D3X]

Я все прекрасно из него понял, просто подписываюсь под тем, что тоже пострадал и что другого выхода кроме как платить найти не смогли. И это грустно...

[uhriab]

Вот, что присылает злоумышленник (ключ мне действительно подошел и что-то уже успел расшифровать):

Оплата пришла.
1) Отключаем антивирус.
2) Скачайте Decryptor по ссылке:
http://gfile.ru/a1fHx
Пароль на архив:
SlJB0sTA
3) Разархивируйте Decryptor в Мои документы пользователя с админ привелегиями.
4) Введите ключ:
<тут был мой ключ>
Внимание!
Востановить данные в случае ввода неверного ключа будет невозможно!
Обращаем внимание, ключ не может содержать пробелы.
Выделяем ключ - копируем - вставляем в окно дешифратора.
И на всякий случай, скопируйте самые важные зашифрованные файлы на съемный носитель, после чего извлеките его из зараженного пк перед началом дешифрации.
Для владельцев 1С, проверьте перед запуском стоит ли расширение .ARRESTED в файлах баз данных.
Если стоит - хорошо, если нет, то
а) Попробуйте открыть базу в текстовом редакторе, и если там будут понятные символы то она не зашифрована.
б) если она не откроется(либо откроются иероглифы), то поставьте расширение .ARRESTED вручную, скопируйте заблаговременно зашифрованную базу на съемный носитель, и извлеките его из зараженного пк!
в) Иногда после дешифровки 1С выдает ошибку: "Ошибка формата потока", в таком случае удаляем папки 1Cv8FTxt и 1Сv8Log, в них живут файлы *.log; *.lgp и *.lgf. Тогда пропадет весь журнал, но зато все заработает.
Иных вопросов у вас возникнуть не может, если вы не изменяли зашифрованные файлы.
5) Нажимаем кнопку расшифровать всё (либо сначала выбираем зашифрованный файл, затем нажимаем кнопку расшифровать файл, обращаем внимание, пароль должен быть вставлен в окно дешифратора).
Начнется расшифровка.
Среднее время расшифровки 2 часа.
По окончанию дешифровки, дешифратор выдаст сообщение: Готово!

[levlevlev]

4) Введите ключ:
<тут был мой ключ>

Этот ключ совпадал с ключём из файла ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT ?

[T0PT]

Файл

Залит 25.06.2013.

Угроза зафиксирвоана каспеским

С 29.06.2013

Вам не кажется что сдесь что-то не так ?

[uhriab]

Этот ключ совпадал с ключём из файла ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT ?

Конечно нет.

- - - Добавлено - - -

Вам не кажется что сдесь что-то не так ?

А что здесь не так?

- - - Добавлено - - -

Да, кстати. Письмо это пришло в ответ на вопрос "сколько?". Т.е никаких денег никто не платил.

[C0D3X]

Не понял, Вам пришло письмо с ключем просто так?! Т.е. вы отправили вопрос типа: "сколько надо денег?!" на указанное мыло, а в ответ вам просто пришло письмо с ключем?! О_о

[T0PT]

Не понял, Вам пришло письмо с ключем просто так?! Т.е. вы отправили вопрос типа: "сколько надо денег?!" на указанное мыло, а в ответ вам просто пришло письмо с ключем?! О_о

[C0D3X]

Т.е никаких денег никто не платил.

[uhriab]

Не понял, Вам пришло письмо с ключем просто так?! Т.е. вы отправили вопрос типа: "сколько надо денег?!" на указанное мыло, а в ответ вам просто пришло письмо с ключем?! О_о

Да. Вложил файлик "что с этим делать?" и файлик для расшифровать. В ответ почему-то пришел ключ.

[C0D3X]

Нууу... Мои вам конгратуляторы! Поздравляю т.е. (в глубине души зажглась надежда: а может и мне повезет...)

[T0PT]

Вот, что присылает злоумышленник (ключ мне действительно подошел и что-то уже успел расшифровать):

Оплата пришла.
1) Отключаем антивирус.
2) Скачайте Decryptor по ссылке:
http://gfile.ru/a1fHx
Пароль на архив:
SlJB0sTA
3) Разархивируйте Decryptor в Мои документы пользователя с админ привелегиями.
4) Введите ключ:
<тут был мой ключ>
Внимание!
Востановить данные в случае ввода неверного ключа будет невозможно!
Обращаем внимание, ключ не может содержать пробелы.
Выделяем ключ - копируем - вставляем в окно дешифратора.
И на всякий случай, скопируйте самые важные зашифрованные файлы на съемный носитель, после чего извлеките его из зараженного пк перед началом дешифрации.
Для владельцев 1С, проверьте перед запуском стоит ли расширение .ARRESTED в файлах баз данных.
Если стоит - хорошо, если нет, то
а) Попробуйте открыть базу в текстовом редакторе, и если там будут понятные символы то она не зашифрована.
б) если она не откроется(либо откроются иероглифы), то поставьте расширение .ARRESTED вручную, скопируйте заблаговременно зашифрованную базу на съемный носитель, и извлеките его из зараженного пк!
в) Иногда после дешифровки 1С выдает ошибку: "Ошибка формата потока", в таком случае удаляем папки 1Cv8FTxt и 1Сv8Log, в них живут файлы *.log; *.lgp и *.lgf. Тогда пропадет весь журнал, но зато все заработает.
Иных вопросов у вас возникнуть не может, если вы не изменяли зашифрованные файлы.
5) Нажимаем кнопку расшифровать всё (либо сначала выбираем зашифрованный файл, затем нажимаем кнопку расшифровать файл, обращаем внимание, пароль должен быть вставлен в окно дешифратора).
Начнется расшифровка.
Среднее время расшифровки 2 часа.
По окончанию дешифровки, дешифратор выдаст сообщение: Готово!

Ваш метод не рабочий