# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Шифровальщики  >  Файлы зашифрованы (расширение .ARRESTED)

## thyrex

С 29.06.2013 на форумах по информационной безопасности зарегистрирован всплеск обращений с очередным шифровальщиком, после работы которого файлы получают дополнительное  расширение *.ARRESTED*

При этом на компьютере создается текстовый файл следующего содержания:



> Здравствуйте!
> Ваш компьютер был атакован опаснейшим вирусом!
> Вся Ваша информация, включая базы данных, документы, бэкапы, и прочие файлы была зашифрована при помощи криптостойких алгоритмов.
> Все зашифрованные файлы имеют расширение .ARRESTED
> Восстановить файлы можно только при помощи дешифратора и пароля, который, в свою очередь, знаем только мы.
> Подобрать его невозможно. Переустановка ОС ничего не изменит. 
> Ни один системный администратор в мире не решит эту проблему не зная пароля.
> Ни в коем случае не изменяйте файлы! А если решились, то сделайте резервные копии.
> Напишите нам письмо на адрес [email protected] (в случае если вам не ответили в течение 12 часов, то продублируйте письмо на почту [email protected]) для получения дальнейших инструкций.
> ...


Это очередная разновидность шифровальщика *Vandev* (по классификации Лаборатории Касперского).
Шифровальщик, как и в более ранних версиях, использует алгоритм шифрования Blowfish.
Шифрование происходит следующим образом:
1) на компьютер пользователя попадает бэкдор, который открывает удаленный доступ к компьютеру через RDP
2) злоумышленник в удобное для него время заходит на компьютер, *вручную* запускает шифрование с *произвольным* ключом

_Вывод_: расшифровать файлы, не зная ключ, *НЕВОЗМОЖНО*. Если информация очень ценная, остается только один вариант - платить злоумышленнику, как бы это не способствовало его "бизнесу"
Как правило, подобные "бизнесмены" просят прислать зашифрованный файл, чтобы пользователь мог убедиться в наличии дешифратора, а после оплаты присылают и всю информацию для расшифровки (вместе с дешифратором)

P.S. Специалисты из вирлабов рекомендуют обращаться сразу в полицию

----------

*Ilya Shabanov*,  *olejah*,  Val_Ery,  zlodei1988

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## zlodei1988

Получается, что на всех зараженных компьютерах зашифровано с помощью одного и того же шифровальщика, соответственно и ключ один для каждой системы?

----------


## thyrex

Файл-шифровальщик один и тот же.Ключ шифрования уникальный для каждой системы.

----------

T0PT

----------


## T0PT

Подскажите есть ли лекартсво от  .ARRESTED
тут ftp://ftp.drweb.com/pub/drweb/tools/
Спасибо

----------


## zlodei1988

Кому нибудь помогло скажите плиз! Без ключей запускать? и какой запускать?

- - - Добавлено - - -

Кому нибудь помогло скажите плиз! Без ключей запускать? и какой запускать?

----------


## T0PT

пока без результатно

----------


## thyrex

*T0PT*
С форума DrWeb



> Здравствуйте!
> 
> Да, нам знакомы подобные инциденты. На данный момент решения нет, т.е. расшифровка нашими силами к сожалению невозможна.
> В данном случае была произведена целенаправленная атака (с подбором пароля, через слабозакрытые средства удаленного администрирования, в первую очередь - RDP), и защитить от такой атаки, к сожалению, не в состоянии ни один антивирус (т.к. это обычный вход пользователя в систему, о вирусе не идет речь). Единственным надёжным средством защиты от потери информации при таких атаках является регулярное резервное копирование ценных данных на носители, недоступные для изменения штатными средствами Windows. Дополнительно это копирование защитит от потери информации в случае сбоев самой операционной системы и при выходе жёсткого диска компьютера из строя.
> Если к пострадавшему компьютеру есть доступ из Интернета по RDP, то либо закройте этот доступ, либо ужесточите правила доступа, потому что последние полгода-год злоумышленники очень часто стали использовать для атаки этот канал.
> 
> Единственным способом воздействия является обращение в РО МВД с заявлением о совершении преступления, только тогда появится шанс поймать злоумышленника.
> 
> 
> ...

----------


## C0D3X

Такая же ситуация  :Sad:  зашифровались файлы БД 1С, ЭОН, некоторые картинки и еще какие-то файлы. Общение с лабораторией касперского результата не дала  :Sad:  пришлось отправит письмо этим "товарищам" с вопросом сколько будет стоит освобождение от них... мда ужжжж

----------


## thyrex

*C0D3X*, все предельно ясно написано в первом сообщении

----------


## C0D3X

Я все прекрасно из него понял, просто подписываюсь под тем, что тоже пострадал и что другого выхода кроме как платить найти не смогли. И это грустно...

----------


## uhriab

Вот, что присылает злоумышленник (ключ мне действительно подошел и что-то уже успел расшифровать):

Оплата пришла.
1) Отключаем антивирус.
2) Скачайте Decryptor по ссылке:
http://gfile.ru/a1fHx
Пароль на архив:
SlJB0sTA
3) Разархивируйте Decryptor в Мои документы пользователя с админ привелегиями.
4) Введите ключ:
<тут был мой ключ>
Внимание!
Востановить данные в случае ввода неверного ключа будет невозможно! 
Обращаем внимание, ключ не может содержать пробелы. 
Выделяем ключ - копируем - вставляем в окно дешифратора.
И на всякий случай, скопируйте самые важные зашифрованные файлы на съемный носитель, после чего извлеките его из зараженного пк перед началом дешифрации.
Для владельцев 1С, проверьте перед запуском стоит ли расширение .ARRESTED в файлах баз данных. 
Если стоит - хорошо, если нет, то 
а) Попробуйте открыть базу в текстовом редакторе, и если там будут понятные символы то она не зашифрована.
б) если она не откроется(либо откроются иероглифы), то поставьте расширение .ARRESTED вручную, скопируйте заблаговременно зашифрованную базу на съемный носитель, и извлеките его из зараженного пк!
в) Иногда после дешифровки 1С выдает ошибку: "Ошибка формата потока", в таком случае удаляем папки 1Cv8FTxt и 1Сv8Log, в них живут файлы *.log; *.lgp и *.lgf. Тогда пропадет весь журнал, но зато все заработает.
Иных вопросов у вас возникнуть не может, если вы не изменяли зашифрованные файлы.
5) Нажимаем кнопку расшифровать всё (либо сначала выбираем зашифрованный файл, затем нажимаем кнопку расшифровать файл, обращаем внимание, пароль должен быть вставлен в окно дешифратора).
Начнется расшифровка.
Среднее время расшифровки 2 часа.
По окончанию дешифровки, дешифратор выдаст сообщение: Готово!

----------


## levlevlev

> 4) Введите ключ:
> <тут был мой ключ>


Этот ключ совпадал с ключём из файла ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT ?

----------


## T0PT

Файл 


> Залит 25.06.2013.


Угроза зафиксирвоана каспеским  


> С 29.06.2013


Вам не кажется что сдесь что-то не так ?

----------


## uhriab

> Этот ключ совпадал с ключём из файла ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT ?


Конечно нет.

- - - Добавлено - - -




> Вам не кажется что сдесь что-то не так ?


А что здесь не так?

- - - Добавлено - - -

Да, кстати. Письмо это пришло в ответ на вопрос "сколько?". Т.е никаких денег никто не платил.

----------


## C0D3X

Не понял, Вам пришло письмо с ключем просто так?! Т.е. вы отправили вопрос типа: "сколько надо денег?!" на указанное мыло, а в ответ вам просто пришло письмо с ключем?! О_о

----------


## T0PT

> Не понял, Вам пришло письмо с ключем просто так?! Т.е. вы отправили вопрос типа: "сколько надо денег?!" на указанное мыло, а в ответ вам просто пришло письмо с ключем?! О_о


 :Cheesy:  :Cheesy:  :Cheesy:

----------


## C0D3X

> 





> Т.е никаких денег никто не платил.


 :Shocked:  :Shocked:  :Shocked:

----------


## uhriab

> Не понял, Вам пришло письмо с ключем просто так?! Т.е. вы отправили вопрос типа: "сколько надо денег?!" на указанное мыло, а в ответ вам просто пришло письмо с ключем?! О_о


Да. Вложил файлик "что с этим делать?" и файлик для расшифровать. В ответ почему-то пришел ключ.

----------


## C0D3X

Нууу... Мои вам конгратуляторы! Поздравляю т.е.  :Smiley:  (в глубине души зажглась надежда: а может и мне повезет...)

----------


## T0PT

> Вот, что присылает злоумышленник (ключ мне действительно подошел и что-то уже успел расшифровать):
> 
> Оплата пришла.
> 1) Отключаем антивирус.
> 2) Скачайте Decryptor по ссылке:
> http://gfile.ru/a1fHx
> Пароль на архив:
> SlJB0sTA
> 3) Разархивируйте Decryptor в Мои документы пользователя с админ привелегиями.
> ...


Ваш метод не рабочий :Furious3:

----------


## thyrex

И в чем его неработоспособность?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## zlodei1988

> Ваш метод не рабочий


Ну давайте пробовать, а ключи кто подскажет, может он одинаковый, кто ж его знает, давайте пробовать!!!

- - - Добавлено - - -




> Вот, что присылает злоумышленник (ключ мне действительно подошел и что-то уже успел расшифровать):
> 
> Оплата пришла.
> 1) Отключаем антивирус.
> 2) Скачайте Decryptor по ссылке:
> http://gfile.ru/a1fHx
> Пароль на архив:
> SlJB0sTA
> 3) Разархивируйте Decryptor в Мои документы пользователя с админ привелегиями.
> ...


Друг мой!!! Поделись ключиком который у тебя показался, авось сработает, прям очень надо! Ну и пиво с меня)

----------


## thyrex

> Друг мой!!! Поделись ключиком который у тебя показался, авось сработает


Сомнительно

----------


## zlodei1988

надо бы посмотреть, какой ключ у него в текст. доке и какой пришел

----------


## thyrex

Судя по всему даже текстовый файл с сообщением записывается на зашифрованную машину вручную

- - - Добавлено - - -

http://virusinfo.info/showthread.php?t=141324 выложены даже две пары кодов

----------


## zlodei1988

вот вот, две пары кодов, как с этим можно работать? и какой толк можно из этого вывести?

----------


## thyrex

> и какой толк можно из этого вывести?


Вполне возможно, что никакого, если каждая такая пара хранится в отдельном файле-базе у злоумышленника

----------


## zlodei1988

А если получится так, что зло запускает шифровальщика, он делает свое дело, на выходе зло имеет откр и закрытый ключ. Столько компьютеров заражено, зло просто физически не сможет собрать все коды и сохранять себе в базу, и письма от зла приходят автоматически, не сравнивая код в текстовом доке! Ну хоть какую то пользу можно же выручить имея пару ключей???
вот еще возможно ценная информация! http://forum.kaspersky.com/index.php...c=260680&st=40

----------


## thyrex

> на выходе зло имеет откр и закрытый ключ


Если бы это было так, то утилиту для дешифровки или подбора ключа давно написали бы.

----------


## zlodei1988

вот еще пишут что - для нечетных блоков, т.е. для 1,3,5,7... блоков по 16Кб и т.д. как раз нужен ключ (который присылают) - в этом еще надо покопаться 
- для четных блоков ни какой ключ не нужен вообще. дешифратор элементарно отнимает от закодированного значения цифру 0x40 

например: 
- код символа "пробел" равен 0x20 
- код символа "ноль" равен 0x30 

так вот. в зашифрованном файле они выглядят как 0x60 и 0x70 соответственно. 

итого еще раз (дабы не сбиться с мысли): 
т.е. БЕЗ РАЗНИЦЫ какой код вводить, для ЧЕТНЫХ блоков дешифратор просто минусует от каждого байта значение 40 (попробуйте сами. просто введите код 123456 и увидете тот же результат как "считалось" ранее что нужен код из текстового файла Расшифровка.txt) - он скорее всего нужен для других целей

----------


## T0PT

Ключь
JK8QfWeHVERWF4BwGxXRr7aiWikIQFMM

После запуска с этим ключем файлы остаются повреждены

----------


## uhriab

> Ключь
> JK8QfWeHVERWF4BwGxXRr7aiWikIQFMM
> 
> После запуска с этим ключем файлы остаются повреждены


А вы где этот ключ взяли?

- - - Добавлено - - -




> Ваш метод не рабочий


Какой метод? Если знать ключ, то этот "метод" работает. Собственно это письмо не за моим авторством.

----------


## T0PT

взял в текстовом файлике ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT

----------


## Николай Акатов

> вот еще пишут что - для нечетных блоков, т.е. для 1,3,5,7... блоков по 16Кб и т.д. как раз нужен ключ (который присылают) - в этом еще надо покопаться  - для четных блоков ни какой ключ не нужен вообще. дешифратор элементарно отнимает от закодированного значения цифру 0x40   например:  - код символа "пробел" равен 0x20  - код символа "ноль" равен 0x30   так вот. в зашифрованном файле они выглядят как 0x60 и 0x70 соответственно.   итого еще раз (дабы не сбиться с мысли):  т.е. БЕЗ РАЗНИЦЫ какой код вводить, для ЧЕТНЫХ блоков дешифратор просто минусует от каждого байта значение 40 (попробуйте сами. просто введите код 123456 и увидете тот же результат как "считалось" ранее что нужен код из текстового файла Расшифровка.txt) - он скорее всего нужен для других целей


к данной заразе эта информация не относится. 
данные кодируются блоками по 8 байт, блок меньше восьми байт - не кодируется. 
пример: (1 - оригинал, 2 - зашифрованный) 
 1 22 50 72 6f 66 69 6c 65 - 4c 69 73 74 22 2c 0a 7b  
2 31 25 3a 30 9d 71 a0 32 - f3 63 b3 a8 2e 2a 3a 34  
1 22 50 72 6f 66 69 6c 65 - 4c 69 73 74 22 2c 22 7b  
2 31 25 3a 30 9d 71 a0 32 - 91 f3 78 66 f4 80 f9 c7  
1 7d 22 7d 7d 7d 
2 7d 22 7d 7d 7d

----------


## uhriab

> взял в текстовом файлике ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT


Для расшифровки нужен другой. Очевидно, в этом весь смысл мошенничества. Если бы ключ был и так у вас, то уже давно было бы универсальное лекарство.

----------


## zlodei1988

Ну так что с этим делать???куда еще можно обратиться, ведь очень много пострадавших компьютеров, где искаь ответы, я лучше денюжку за ум дам человеку который раскроет все, а не запакостит(

- - - Добавлено - - -

Вот еще инфа
тоже проверили - действительно с паролем из письма расшифровывается часть файла,
причем блоками - сначала шифрованый кусок - потом кусок расшифрован - потом снова шифрован и т.д... блоки длинной 0x4000h
сдается мне алгоритм такой
генериться пароль с которым шифруются файлы
у этого пароля делается известная ошибка в 1 знаке
этот пароль шифруется другим алгоритмом и записывается в письме

получив это пароль с косяком - расшифровывают его, устраняют внесенное изменение символа,
снова шифруют все темже алгоритмом и высылают нам...

алгоритм расшифровки пароля есть в декрипторе, пароль расшифровывается 
файлы дешифруются...

собственно надо ковырнуть декриптор на предмет расшифровки самого пароля...
тогда универсальный декрипто не загорами

- - - Добавлено - - -

действительно с паролем из письма расшифровывается часть файла,
причем блоками - сначала шифрованый кусок - потом кусок расшифрован - потом снова шифрован и т.д... блоки длинной 0x4000h
сдается мне алгоритм такой
генериться пароль с которым шифруются файлы
у этого пароля делается известная ошибка в 1 знаке
этот пароль шифруется другим алгоритмом и записывается в письме

получив это пароль с косяком - расшифровывают его, устраняют внесенное изменение символа,
снова шифруют все темже алгоритмом и высылают нам...

алгоритм расшифровки пароля есть в декрипторе, пароль расшифровывается 
файлы дешифруются...

собственно надо ковырнуть декриптор на предмет расшифровки самого пароля...
тогда универсальный декрипто не загорами

----------


## thyrex

*zlodei1988*, прекратите писать ерунду на всех форумах подряд

----------

zlodei1988

----------


## zlodei1988

Хорошо! я просто нервничаю очень!)

- - - Добавлено - - -

Простите уж за назойливость, а с этим шифровальщиком типа ARRESTED занимается кто-нибудь, и можно ли надеяться на результат? Спасибо! Извините еще раз!

----------


## Zyxel

Господин thyrex, убедительная просьба отредактировать первое сообщение в ветке. НЕ НУЖНО платить вымогателям, так как ничего вам никто не вышлет. Мы попробовали, заплатили, только деньги потеряли. Складывается впечатление, что посты о том, что кто-то там заплатил и ему выслали код для дешифровки пишут сами авторы вируса. Как бы ни было тяжело, восстанавливайте все вручную, вариантов больше нет, ну и на будущее усилить безопасность.

----------


## thyrex

> Мы попробовали, заплатили, только деньги потеряли


А до оплаты с Вами на связь злоумышленники выходили?

----------


## Zyxel

> А до оплаты с Вами на связь злоумышленники выходили?


Да. шла переписка, выслали один файл на расшифровку, получили расшифрованный, попытались цену сбить, не вышло, затем выслали по нашему запросу реквизиты для оплаты, оплата прошла и разговор прекратился сразу, на наши письма никакого ответа.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## thyrex

Странно, конечно. Возможно их e-mail просто заблокировали

----------


## Zyxel

> Странно, конечно. Возможно их e-mail просто заблокировали


Письма не возвращаются, значит не заблокировали.

----------


## zipfaster

А кто-нибудь пробовал "Бесплатная расшифровка данных" от Веба 
https://support.drweb.com/new/free_u...=&for_decode=1
Я имею ввиду из лицензионщиков, действительно ли они расшифровывают???

----------


## thyrex

Этого шифровальщика вряд ли

----------


## Inferno_2000

> А кто-нибудь пробовал "Бесплатная расшифровка данных" от Веба 
> https://support.drweb.com/new/free_u...=&for_decode=1
> Я имею ввиду из лицензионщиков, действительно ли они расшифровывают???


Здравствуйте! 

К сожалению, в данном случае мы ничем не можем помочь. Файлы зашифрованы вредоносной программой Trojan.Encoder.166. В этой программе применяется стойкий шифр Blowfish, взлом которого современными средствами за приемлемое время невозможен, а использованный шифроключ нигде не сохраняется и никуда не передается. Все известные разновидности этого трояна запускаются только вручную: злоумышленник каким-либо образом получает или подбирает пароль для доступа к системе и подключается с этим паролем по RDP (обычно подключение делается через анонимные сервисы), затем запускает Trojan.Encoder.166, и вводит в появившееся окно трояна ключ шифрования, далее следует шифрование данных и самоуничтожение трояна. Если на компьютере установлен антивирус, то злоумышленник может отключить или удалить антивирус перед запуском трояна. Восстановить данные, не заплатив вымогателю, можно только в том случае, если правоохранительные органы смогут найти злоумышленника и получить у него код расшифровки. Для возбуждения в отношении злоумышленников уголовного дела правоохранительным органам необходим процессуальный повод — ваше заявление о преступлении. 
Кроме того, настоятельно рекомендуем провести аудит RDP-подключений, сменить все пароли на более сложные и ограничить RDP-доступ к компьютеру (лучше всего разрешить подключение по RDP только из доверенных подсетей, откуда действительно нужно подключение, а подключения из других подсетей блокировать сетевым экраном), чтобы избежать повторения подобных атак. 
Ни один антивирус не в состоянии защитить от целенаправленной порчи информации, так что единственным надёжным средством защиты от потери данных при таких атаках является постоянное резервное копирование ценных данных на носители, недоступные для изменения в промежутках между сеансами резервного копирования (как минимум, резервные копии не должны быть доступны для записи из рабочих систем, использующих Windows). Дополнительно это копирование защитит от потери информации в случае сбоев самой операционной системы и при выходе жёсткого диска компьютера из строя. 

----------- 
С уважением, Илья Яковец 
служба технической поддержки компании "Доктор Веб". 
-----------

Такой ответ мне был дан на обращение в ТП DrWeb-a

----------


## zipfaster

не весело!
и платить вымогателям уже стремно, кто-то уже писал что не чего не высылают после оплаты(((
 кстати даже в этой теме

----------


## zipfaster

Здравствуйте, хотелось бы у Вас узнать может появился дешифратор для данного шифровальщика вот как вот недавно ДрВеб выложил дешифратор для шифровальщика который был в сентябре 2013 и модификаций
http://news.drweb.com/show/?i=5874&c=5&lng=ru&p=0
если есть хоть какая-то инфа, хотелось бы узнать. А то у меня, до сих пор, лежит законсервированный жесткий диск с частично зашифрованными данными (процесс шифровки не был завершен, манипуляции с жестким не проводились, только он был подключен к др. компу и была слита вся не пострадавшая инфа). 
Если по данному шифровальщику нет дешифровщика, то возможно ли в будущем (даже если и в далеком) расшифровка данного типа шифровщика?

----------


## thyrex

Encoder.293 не имеет никакого отношения к данному шифровальщику

----------


## zipfaster

это я понял, я не про это. Я говорю про то, может быть сейчас появилась возможность расшифровать этот шифровщик (раз им удалось только сейчас расшифровать шифровщик который начал действовать еще в сентябре 2013)? 
Или так все и осталось, без возможности расшифровки?

----------


## thyrex

Никаких утилит против этого шифровальщика они не разрабатывали.

Да и читали Вы невнимательно



> пострадавших от *новых* модификаций Trojan.Encoder.293

----------

zipfaster

----------

