# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Шифровальщики  >  Расшифровка файлов с расширением [email protected]_lot XXXX (различные варианты)

## Ilya Shabanov

Появилась возможность для расшифровки файлов с расширением *[email protected]_lotXXXX*, где XXXX может принимать различные цифровые сочетания


Требуется утилита te102decrypt.exe от "Доктор Веб"





Информация



*Сделайте резервную копию всех зашифрованных файлов на случай, если что-то пойдет не так!* 

Скачайте te102decrypt.exe и сохраните *в корень диска С*.


В командной строке введите:


```
C:\te102decrypt.exe -k КОД
```


Где *КОД* - это трехзначный номер, разный для каждого расширения:

(***) Support<at>casinomtgox.com_lot2010   -k 189
(***) Support<at>casinomtgox.com_lot2000   -k 190
(***) Support<at>casinomtgox.com_lot2003   -k 192 
Support<at>casinomtgox.com_lot2020   -k 207
(***) Support<at>casinomtgox.com_lot2012   -k 214
Support<at>casinomtgox.com_lot2011   -k 215
Support<at>casinomtgox.com_lot5018   -k 249
Support<at>casinomtgox.com_lot5019   -k 271
Support<at>casinomtgox.com_lot5004   -k 350
Support<at>casinomtgox.com_lot3011   -k 363
Support<at>casinomtgox.com_lot4024   -k 384
(***) Support<at>casinomtgox.com_lot5030   -k 385
Support<at>casinomtgox.com_lot4026   -k 390
Support<at>casinomtgox.com_lot3015   -k 396
Support<at>casinomtgox.com_lot5010   -k 398
Support<at>casinomtgox.com_lot5000   -k 399 
Support<at>casinomtgox.com_lot5002   -k 403
Support<at>casinomtgox.com_lot4012   -k 406
Support<at>casinomtgox.com_lot5022   -k 408

Если нужно расшифровать файлы в определенном каталоге, то используйте ключ -path
Например: C:\te102decrypt.exe -k КОД -path D:\New folder

*Внимание!!!*
1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет


2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались




Если рецепт вам помог, то отпишитесь пожалуйста в данной теме.


Если вы располагаете другими рецептами или ключами для расшифровки файлов [email protected]_lotXXXX, то просьба публиковать их в данной теме. Мы будем очень признательны вам за это.

*Условные обозначения:*

(***) - Встречались такие же версии, где автор шифратора изменил ключ шифрования в доработанных версиях шифратора. В этом случае предложенные ключи запуска утилиты DrWeb вам могут не помочь.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Malder KGB

Подскажите, для [email protected]_lot5007 какой -k КОД нужен?

----------


## mike 1

Для этой версии пока нет дешифратора.

----------


## Malder KGB

жаль  :Sad: 
и на том спасибо
будем ждать...

----------


## Ilya Shabanov

*Malder KGB*, не торопитесь удалять файлы или платить злоумышленникам. Возможно в ближайшее время дешифратор появится. Следите за объявлениями на нашем сайте, в данной теме  :Wink:

----------


## Malder KGB

Админы хакерам не платят! :Wink: 
Сначала принесли флешку с этим чудом, потом забрал у наших радийцев комп, полный радости так сказать...
Завтра полечу систему и пусть дожидается лучших времён.

----------


## den521

> Для этой версии пока нет дешифратора.


А для [email protected]_lot5005 есть?

----------


## mike 1

> А для [email protected]_lot5005 есть?


Пока нету.

----------


## Alexander Lirmak

А у меня файлы стали [email protected], без ключа, как узнать?

----------


## mike 1

> А у меня файлы стали [email protected], без ключа, как узнать?


Я не понял вопроса что значит без ключа? Какие цифры добавились на месте lot*XXXX*?

----------


## Alexander Lirmak

реквизиты ООО Фрегат[email protected]
Вообще никаких.

----------


## mike 1

> реквизиты ООО Фрегат[email protected]
> Вообще никаких.


Похоже новая разновидность. Какое ключевое слово/id вам присвоили? Возможно эта информация есть в оставленном текстовом файле.

----------


## Alexander Lirmak

А где можно найти этот текстовый файл? Я просто как заметил просто выдергивал комп из сети, не дал закончить вроде.

----------


## mike 1

Тогда вам сначала нужно пролечиться в этом http://virusinfo.info/forumdisplay.php?f=46 разделе. Здесь прикрепите 1 зашифрованный файл в архиве.

----------


## Alexander Lirmak

Не совсем понял куда вы меня послали, там очень много тем, а я так сказать не местный и не сильно понимаю что вы просите меня сделать.  :Smiley: 
Вот файл образец

----------


## mike 1

Создаете свою тему с описанием проблемы и прикладываете необходимые отчеты для диагностики.

----------


## Piven

Спасибо большое, утилита помогла и расшифровала все файлы. Были зашифрованы doc, rtf и jpg файлы ([email protected]_lot5004)

----------


## jerr13

> Спасибо большое, утилита помогла и расшифровала все файлы. Были зашифрованы doc, rtf и jpg файлы ([email protected]_lot5004)




Дешифратором  для [email protected]_lot 2014 никто не поделился?

----------


## mike 1

*jerr13* нет.

----------


## jerr13

[QUOTE=mike 1;1110468]*jerr13* нет.

спасибо,,буду ждать.

----------


## mike 1

*Alexander Lirmak* для вашей версии нашел способ как расшифровать файлы инструкцию получите в конце лечения в разделе Помогите. Ключи которые могут помочь без номера для версии Casino здесь публиковаться мной не будут т.к. есть большой риск убить окончательно файлы.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## jerr13

ок. Соберу инфу,скину логи.спасибо.

----------


## 33lab

Уважаемые, есть ли дешифратор для [email protected]_lot3024?

----------


## mike 1

> Уважаемые, есть ли дешифратор для [email protected]_lot3024?


Нету.

----------


## laruhin

для Support<at>casinomtgox.com_lot2010 файлы остались зашифрованными :Sad:

----------


## mike 1

> для Support<at>casinomtgox.com_lot2010 файлы остались зашифрованными


Автор изменил ключ шифрования в некоторых старых версиях этого шифратора потому утилита Drweb вам не смогла помочь. Я думаю это своего рода ответ автора на эту статью.

----------


## laruhin

> Автор изменил ключ шифрования в некоторых старых версиях этого шифратора потому утилита Drweb вам не смогла помочь. Я думаю это своего рода ответ автора на эту статью.


Все правильно, поспешил предупредить форумчан. Теперь думаю, что делать.....

----------


## Ruvar

Не появилось решение на измененный ключ "_lot2010 "?

----------


## thyrex

Нет, не появилось

----------


## Ruvar

> Нет, не появилось


Есть хоть какие-то ориентировочные сроки появления данного решения? Заранее благодарен.

----------


## mike 1

> Есть хоть какие-то ориентировочные сроки появления данного решения? Заранее благодарен.


Ориентировочных сроков нет.

----------


## Arthur1973

Доброго всем времени суток! Знакомой, к сожалению, с casinomtgox.com_lot2012 -k 214 утилита не помогла. Ни один файл не расшифровался...  :Sad:

----------


## thyrex

*Arthur1973*, в ответ на выкладку номеров ключей на нашем форуме автор шифровальщика сменил ключ шифрования, а расширения менять не стал. Такое уже проверено на 4 разных модификациях

----------


## cineget

Добрый вечер. случаем нет ли дешифратора для lot5009?

----------


## mike 1

> Добрый вечер. случаем нет ли дешифратора для lot5009?


Не видел. Мы скорее всего больше не будем здесь писать ключи, которые могут помочь в определенных версиях шифратора. Причина по которой мы наверное больше не будем публиковать подобную информацию в открытом доступе банальна автору шифратора никто не мешает доработать свои шифраторы в ответ на эту инструкцию.

----------


## cineget

> Не видел. Мы скорее всего больше не будем здесь писать ключи, которые могут помочь в определенных версиях шифратора. Причина по которой мы наверное больше не будем публиковать подобную информацию в открытом доступе банальна автору шифратора никто не мешает доработать свои шифраторы в ответ на эту инструкцию.


Каково, в таком случае . решение проблемы?

----------


## mike 1

> Каково, в таком случае . решение проблемы?


Без оригинального дешифратора, который есть только у автора этого шифратора расшифровать файлы пока не получится. Потому решения нет.

----------


## Nikato

Прошу подсказать. 
Я сделала всё по вашей инструкции расшифровки файлов с расширением [email protected]_lot XXXX. Но программа TE102decrypt.exe, установленная на диск С не запускается. Она пишет после нажатия на "продолжить" "неверные параметры командной строки". Что делать?

----------


## mike 1

> Прошу подсказать. 
> Я сделала всё по вашей инструкции расшифровки файлов с расширением [email protected]_lot XXXX. Но программа TE102decrypt.exe, установленная на диск С не запускается. Она пишет после нажатия на "продолжить" "неверные параметры командной строки". Что делать?


Скриншот сделайте того что ввели в командной строке. + Версию утилиты DrWeb уточните.

----------


## Nikato

Утилита установилась, сделала копии всех файлов. Но при открытии файлов с расширением doc появляется надпись: Преобразование файла, Выберите кодировку, которая позволит прочитать ваш документ. Выбираю Windows( по умолчанию), файл открывается , в нем набор значков и символов.
Расшифровать пыталась с помощью утилиты te102decrypt.exe, для расширения [email protected]_ lot2020 -k207.

----------


## mike 1

*Nikato* значит попали на модифицированную версию шифратора.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Nikato

> *Nikato* значит попали на модифицированную версию шифратора.


Спасибо за то,что пытаетесь помочь! Возможна ли когда-нибудь расшифровка?

----------


## mike 1

> Спасибо за то,что пытаетесь помочь! Возможна ли когда-нибудь расшифровка?


Если кто-то поделится, то будет возможна. Однако ключи в этой теме больше публиковаться не будут.

----------


## Losthuman

> Если кто-то поделится, то будет возможна. Однако ключи в этой теме больше публиковаться не будут.


Делюсь. Пострадали 2 компьютера в офисе. Стоял NOD32 5 версии.
Пришло письмо (можно открыть в MS Word, только ссылку ДОКУМЕНТЫ не нажимайте - по ней похоже и происходит заражение - скачивается архив с трояном-шифровальщиком и запускается. В итоге получаются такие вот файлы: оригиналы+зашифрованные ([email protected])

письмо выглядит примерно так:

image.jpg

и ссылка "ДОКУМЕНТЫ" на вирус: [удалено]





Вот что в журнале NOD32:



```
    <RECORD>
      <COLUMN NAME="Время">
        <DATE>26.05.2014</DATE>
        <TIME>4:17:23</TIME>
      </COLUMN>
      <COLUMN NAME="Модуль сканирования">Модуль сканирования файлов, исполняемых при запуске системы</COLUMN>
      <COLUMN NAME="Oбъeкт">файл</COLUMN>
      <COLUMN NAME="Имя">Оперативная память = Судебный приказ - судебное постановление, вынесенное судьей единолично на основании заявления о взыскании денежных сумм или.exe(3132)</COLUMN>
      <COLUMN NAME="Bиpуc">модифицированный Win32/Filecoder.NAM троянская программа</COLUMN>
      <COLUMN NAME="Дeйcтвиe">очищен удалением</COLUMN>
      <COLUMN NAME="Пoльзoвaтeль"></COLUMN>
      <COLUMN NAME="Информация"></COLUMN>
    </RECORD>
...
<RECORD>
      <COLUMN NAME="Время">
        <DATE>23.05.2014</DATE>
        <TIME>10:05:26</TIME>
      </COLUMN>
      <COLUMN NAME="Модуль сканирования">Защита в режиме реального времени</COLUMN>
      <COLUMN NAME="Oбъeкт">файл</COLUMN>
      <COLUMN NAME="Имя">C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\M2BJYT78\temp[1]\obrazetcs-postanovleniya.jpg</COLUMN>
      <COLUMN NAME="Bиpуc">Win32/Filecoder.AL.Gen троянская программа</COLUMN>
      <COLUMN NAME="Дeйcтвиe">очищен удалением - изолирован</COLUMN>
      <COLUMN NAME="Пoльзoвaтeль">GLAVBUH\Glavbuh</COLUMN>
      <COLUMN NAME="Информация">Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\WinRAR\WinRAR.exe.</COLUMN>
    </RECORD>
```

----------


## Losthuman

> Если кто-то поделится, то будет возможна. Однако ключи в этой теме больше публиковаться не будут.


архив с зашифрованными файлами и оригиналами: http://vosk.me/virus/files.zip

Зашифрованные файлы имеют вид: "[email protected]"

Заражение происходит через ссылку: [удалено]


Жертве приходит письмо с темой: Cудебный пристав

внутри письма картинка и вышеуказанная ссылка в виде слова "ДОКУМЕНТЫ" - расположенная под картинкой

image.jpg

На компьютере где произошёл инцидент стоит антивирус NOD32 5. В журнале антивируса есть такие строчки:



```
<COLUMN NAME="Имя">Оперативная память = Судебный приказ - судебное постановление, вынесенное судьей единолично на основании заявления о взыскании денежных сумм или.exe(3132)</COLUMN>

<COLUMN NAME="Bиpуc">модифицированный Win32/Filecoder.NAM троянская программа</COLUMN>

<COLUMN NAME="Дeйcтвиe">очищен удалением</COLUMN>



COLUMN NAME="Имя">C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\M2BJYT78\temp[1]\obrazetcs-postanovleniya.jpg</COLUMN>

<COLUMN NAME="Bиpуc">Win32/Filecoder.AL.Gen троянская программа</COLUMN>

<COLUMN NAME="Дeйcтвиe">очищен удалением - изолирован</COLUMN>
```


В общем почистить заразу - антивирус почистил, но шифровальщик всё же успел зашифровать все документы, фотографии и DBF-файлы на компьютере и сетевом диске сервера. Очень надеюсь что появится решение и получится расшифровать.

----------


## thyrex

Если письмо сохранилось, сохраните его в eml формате, затем упакуйте его в zip архив и прикрепите в следующем вашем посте

----------


## Losthuman

письмо: http://vosk.me/virus/message.zip

----------


## smart1k

> Если кто-то поделится, то будет возможна. Однако ключи в этой теме больше публиковаться не будут.


Здравствуйте. А как возможно будет узнать о появлении нужного дешифратора?

----------


## mike 1

> Здравствуйте. А как возможно будет узнать о появлении нужного дешифратора?


Можете спросить в этой теме.

----------


## Losthuman

Команда ESET прислала дешифратор (пароль: clean), но возможно он подходит только к моему варианту ключа шифрования. Попробуйте сначала на одном файле. Рекомендовали распаковать в корень диска. Путь и имя файла нужно указывать полностью с учётом регистра. Либо указать диски как написано в help.txt, что бы расшифровать все файлы. Ключ запуска утилиты /b видимо обязателен. Копии зашифрованных файлов остаются, если нормально расшифрует - их можно потом удалить.

Вымогатель потребовал кстати 1 биткоин за утилиту расшифровки.

----------


## smart1k

Подскажите, для версии lot5011 есть дешифратор?

----------


## mike 1

> Подскажите, для версии lot5011 есть дешифратор?


Нету

----------


## timon1007

> *Alexander Lirmak* для вашей версии нашел способ как расшифровать файлы инструкцию получите в конце лечения в разделе Помогите. Ключи которые могут помочь без номера для версии Casino здесь публиковаться мной не будут т.к. есть большой риск убить окончательно файлы.


Добрый День ! У меня похожий случай как у Alexander Lirmak, помогите пожалуйста  расшифровать файлы.

----------


## mike 1

> Добрый День ! У меня похожий случай как у Alexander Lirmak, помогите пожалуйста  расшифровать файлы.


Создайте свою тему в разделе Помогите.

----------


## Afono4ka

Подскажите, если ли дешифратор для файлов типа casinomtgox.com_lot2004?

----------


## mike 1

> Подскажите, если ли дешифратор для файлов типа casinomtgox.com_lot2004?


Не встречалось.

----------


## athelas

Подскажите, если ли дешифратор для файлов типа casinomtgox.com_lot5029

----------


## thyrex

Нет

----------


## student000

Доброго времени суток!
Не появилось ли дешифратора для этого вируса?
http://virusinfo.info/showthread.php?t=161575

----------


## thyrex

Нет, не появилось

----------


## Dosmant

На casinomtgox.com_lot5011 ничего не появилось?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## mike 1

> На casinomtgox.com_lot5011 ничего не появилось?


Полноценной расшифровки нет.

----------


## DerGeist

Расшифровать *[email protected]_lot4000* помогла вот эта программка. Можно попробовать и на других лотах. Надеюсь, кому-нибудь пригодиться. Всем удачи!  :Thumbs Up:

----------


## степан as9sa

Большое спасибо!!! [email protected]_lot2001, все получилось!!!

----------


## jexxxxx

Здравствуйте! Подскажите пожалуйста есть ли дешифратор для [email protected]_lot4002?
Шифровка произошла где-то 04.2014 но до сих пор нету упоминаний в темах на форуме и вообще в сети, это что-то из новенького? :Smiley: 

- - - - -Добавлено - - - - -

P.S. Не одна утилита предложенная в теме не помогла....

----------


## mike 1

*jexxxxx* а сам шифратор сохранился?

----------


## jexxxxx

Не совсем понял вопроса... файл трояна? если так - тогда нет. После заражения я переустановил систему, остались только зашифрованные данные jpg, xhls, word, pdf и т.д. т.д. 
Что интересно незадолго до заражения я купил лицензионный Каспер, а после заражение его на компе не оказалось, как будто вирус его снес...)

----------


## mike 1

> После заражения я переустановил систему


Печально. Само письмо сохранилось или со страха удалили?

----------


## Vas ART

Добрый вечер! Вижу у многих в апреле отработал вирус шифровальщик будь они не ладны... Не появился ли код для [email protected]_lot5005 ???

----------


## mike 1

Нет

----------


## Ирина Дикур

[email protected]_lot5011 не появился код.Спасибо

----------


## mike 1

Нет.

----------


## Denis_R

Приветствую, уважаемые специалисты. Помогите пожалуйста советом. 
Где-то в апреле подхватил трояна, который зашифровал все фотки и приставил к названиям "[email protected]_lot2003"
Вероятно, этот lot2003 - под звёздочкой, т.е. утилита  te102decrypt.exe с параметром -k 192 не помогает. Так же не помог и RectorDecryptor последней на сегодня версии. 
Вопрос - есть ли на сегодняшний день рабочий дешифратор? На руках имею рабочую ОС с сидящим в ней трояном, но письмо с электронки с трояном утеряно. Есть ли смысл собирать логи/карантины авз-ом, HijackThis-ом и создавать тему в разделе "помогите" ? 
Заранее благодарю за уделённое время.

----------


## 33lab

Уважаемые, появился ли дешифратор для [email protected]_lot3024?

----------


## mike 1

> Уважаемые, появился ли дешифратор для [email protected]_lot3024?


Нет.

----------


## Александр Лымарь

Файлы зашифрованные lot-5030 розшифровал с помощью te102decrypt.Сделал все как указанно в инструкции.Программа сделала розшифрованние  копии зашифрованных фото.Только фото не открываются.Пишет(средство просмотра фотографий windows не может открыть это изображение поскольку формат данного файла не поддерживается или отсутствуют последние обновленния средства просмотра изображений).Подскажите, пожалуйста, что делать?!Может te102decrypt попросту штампует файлы пустышки?

----------


## mike 1

> (*) - Встречались такие же версии, где автор шифратора изменил ключ шифрования в доработанных версиях шифратора. В этом случае предложенные ключи запуска утилиты DrWeb вам могут не помочь.


...

----------


## Сергей Шереметов

lot5007, появился дешифратор?

----------


## mike 1

> lot5007, появился дешифратор?


Нет. 

*Sergey1810* ваше сообщение удалено, т.к. к этой теме оно никак не относится. Создайте тему в разделе Помогите.

----------


## x13skater

а для такого [email protected]_lot3016 есть код расшифровки?

- - - - -Добавлено - - - - -

lot3016, появился дешифратор?

----------


## thyrex

Нет, и вряд ли уже появится

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## mike 1

> а для такого [email protected]_lot3016 есть код расшифровки?
> 
> - - - - -Добавлено - - - - -
> 
> lot3016, появился дешифратор?


Попробуйте воспользоваться RectorDecryptor от Kaspersky.

----------


## Snowball86

Добрый день. Для "[email protected]_lot2014" есть что-нибудь?

----------


## mike 1

> Добрый день. Для "[email protected]_lot2014" есть что-нибудь?


Попробуйте воспользоваться RectorDecryptor от Kaspersky.

----------

