PDA

Просмотр полной версии : Расшифровка файлов с расширением Support@casinomtgox.com_lot XXXX (различные варианты)



Ilya Shabanov
10.04.2014, 18:30
Появилась возможность для расшифровки файлов с расширением Support@casinomtgox.com_lotXXXX, где XXXX может принимать различные цифровые сочетания


Требуется утилита te102decrypt.exe от "Доктор Веб"





Сделайте резервную копию всех зашифрованных файлов на случай, если что-то пойдет не так!

Скачайте te102decrypt.exe (http://download.geo.drweb.com/pub/drweb/tools/te102decrypt.exe) и сохраните в корень диска С.


В командной строке введите:

C:\te102decrypt.exe -k КОД


Где КОД - это трехзначный номер, разный для каждого расширения:

(*) Support<at>casinomtgox.com_lot2010 -k 189
(*) Support<at>casinomtgox.com_lot2000 -k 190
(*) Support<at>casinomtgox.com_lot2003 -k 192
Support<at>casinomtgox.com_lot2020 -k 207
(*) Support<at>casinomtgox.com_lot2012 -k 214
Support<at>casinomtgox.com_lot2011 -k 215
Support<at>casinomtgox.com_lot5018 -k 249
Support<at>casinomtgox.com_lot5019 -k 271
Support<at>casinomtgox.com_lot5004 -k 350
Support<at>casinomtgox.com_lot3011 -k 363
Support<at>casinomtgox.com_lot4024 -k 384
(*) Support<at>casinomtgox.com_lot5030 -k 385
Support<at>casinomtgox.com_lot4026 -k 390
Support<at>casinomtgox.com_lot3015 -k 396
Support<at>casinomtgox.com_lot5010 -k 398
Support<at>casinomtgox.com_lot5000 -k 399
Support<at>casinomtgox.com_lot5002 -k 403
Support<at>casinomtgox.com_lot4012 -k 406
Support<at>casinomtgox.com_lot5022 -k 408

Если нужно расшифровать файлы в определенном каталоге, то используйте ключ -path
Например: C:\te102decrypt.exe -k КОД -path D:\New folder

Внимание!!!
1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет


2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались


Если рецепт вам помог, то отпишитесь пожалуйста в данной теме.


Если вы располагаете другими рецептами или ключами для расшифровки файлов Support@casinomtgox.com_lotXXXX, то просьба публиковать их в данной теме. Мы будем очень признательны вам за это.

Условные обозначения:

(*) - Встречались такие же версии, где автор шифратора изменил ключ шифрования в доработанных версиях шифратора. В этом случае предложенные ключи запуска утилиты DrWeb вам могут не помочь.

Malder KGB
15.04.2014, 15:32
Подскажите, для Support@casinomtgox.com_lot5007 какой -k КОД нужен?

mike 1
15.04.2014, 15:36
Для этой версии пока нет дешифратора.

Malder KGB
15.04.2014, 15:46
жаль :(
и на том спасибо
будем ждать...

Ilya Shabanov
15.04.2014, 19:42
Malder KGB, не торопитесь удалять файлы или платить злоумышленникам. Возможно в ближайшее время дешифратор появится. Следите за объявлениями на нашем сайте, в данной теме ;)

Malder KGB
15.04.2014, 21:11
Админы хакерам не платят!;)
Сначала принесли флешку с этим чудом, потом забрал у наших радийцев комп, полный радости так сказать...
Завтра полечу систему и пусть дожидается лучших времён.

den521
16.04.2014, 11:40
Для этой версии пока нет дешифратора.

А для Support@casinomtgox.com_lot5005 есть?

mike 1
16.04.2014, 12:02
А для Support@casinomtgox.com_lot5005 есть?
Пока нету.

Alexander Lirmak
21.04.2014, 13:13
А у меня файлы стали Support@casinomtgox.com, без ключа, как узнать?

mike 1
21.04.2014, 14:47
А у меня файлы стали Support@casinomtgox.com, без ключа, как узнать?
Я не понял вопроса что значит без ключа? Какие цифры добавились на месте lotXXXX?

Alexander Lirmak
21.04.2014, 14:52
реквизиты ООО Фрегат.docx.Support@casinomtgox.com
Вообще никаких.

mike 1
21.04.2014, 15:02
реквизиты ООО Фрегат.docx.Support@casinomtgox.com
Вообще никаких.
Похоже новая разновидность. Какое ключевое слово/id вам присвоили? Возможно эта информация есть в оставленном текстовом файле.

Alexander Lirmak
21.04.2014, 15:16
А где можно найти этот текстовый файл? Я просто как заметил просто выдергивал комп из сети, не дал закончить вроде.

mike 1
21.04.2014, 15:29
Тогда вам сначала нужно пролечиться в этом http://virusinfo.info/forumdisplay.php?f=46 разделе. Здесь прикрепите 1 зашифрованный файл в архиве.

Alexander Lirmak
21.04.2014, 15:40
Не совсем понял куда вы меня послали, там очень много тем, а я так сказать не местный и не сильно понимаю что вы просите меня сделать. :)
Вот файл образец

mike 1
21.04.2014, 15:46
Создаете свою тему с описанием проблемы и прикладываете необходимые отчеты для диагностики.

Piven
21.04.2014, 20:41
Спасибо большое, утилита помогла и расшифровала все файлы. Были зашифрованы doc, rtf и jpg файлы (Support@casinomtgox.com_lot5004)

jerr13
22.04.2014, 08:54
Спасибо большое, утилита помогла и расшифровала все файлы. Были зашифрованы doc, rtf и jpg файлы (Support@casinomtgox.com_lot5004)



Дешифратором для support@casinomtgox.com_lot 2014 никто не поделился?

mike 1
22.04.2014, 10:56
jerr13 нет.

jerr13
22.04.2014, 11:17
[QUOTE=mike 1;1110468]jerr13 нет.

спасибо,,буду ждать.

mike 1
22.04.2014, 12:39
Alexander Lirmak для вашей версии нашел способ как расшифровать файлы инструкцию получите в конце лечения в разделе Помогите. Ключи которые могут помочь без номера для версии Casino здесь публиковаться мной не будут т.к. есть большой риск убить окончательно файлы.

jerr13
23.04.2014, 08:20
ок. Соберу инфу,скину логи.спасибо.

33lab
23.04.2014, 12:05
Уважаемые, есть ли дешифратор для Support@casinomtgox.com_lot3024?

mike 1
23.04.2014, 12:08
Уважаемые, есть ли дешифратор для Support@casinomtgox.com_lot3024?
Нету.

laruhin
27.04.2014, 20:06
для Support<at>casinomtgox.com_lot2010 файлы остались зашифрованными:(

mike 1
27.04.2014, 21:41
для Support<at>casinomtgox.com_lot2010 файлы остались зашифрованными:(
Автор изменил ключ шифрования в некоторых старых версиях этого шифратора потому утилита Drweb вам не смогла помочь. Я думаю это своего рода ответ автора на эту статью.

laruhin
27.04.2014, 22:16
Автор изменил ключ шифрования в некоторых старых версиях этого шифратора потому утилита Drweb вам не смогла помочь. Я думаю это своего рода ответ автора на эту статью.

Все правильно, поспешил предупредить форумчан. Теперь думаю, что делать.....

Ruvar
28.04.2014, 06:26
Не появилось решение на измененный ключ "_lot2010 "?

thyrex
28.04.2014, 12:06
Нет, не появилось

Ruvar
28.04.2014, 13:10
Нет, не появилось
Есть хоть какие-то ориентировочные сроки появления данного решения? Заранее благодарен.

mike 1
28.04.2014, 13:20
Есть хоть какие-то ориентировочные сроки появления данного решения? Заранее благодарен.
Ориентировочных сроков нет.

Arthur1973
04.05.2014, 16:25
Доброго всем времени суток! Знакомой, к сожалению, с casinomtgox.com_lot2012 -k 214 утилита не помогла. Ни один файл не расшифровался... :(

thyrex
04.05.2014, 21:54
Arthur1973, в ответ на выкладку номеров ключей на нашем форуме автор шифровальщика сменил ключ шифрования, а расширения менять не стал. Такое уже проверено на 4 разных модификациях

cineget
05.05.2014, 22:51
Добрый вечер. случаем нет ли дешифратора для lot5009?

mike 1
05.05.2014, 23:06
Добрый вечер. случаем нет ли дешифратора для lot5009?
Не видел. Мы скорее всего больше не будем здесь писать ключи, которые могут помочь в определенных версиях шифратора. Причина по которой мы наверное больше не будем публиковать подобную информацию в открытом доступе банальна автору шифратора никто не мешает доработать свои шифраторы в ответ на эту инструкцию.

cineget
06.05.2014, 09:27
Не видел. Мы скорее всего больше не будем здесь писать ключи, которые могут помочь в определенных версиях шифратора. Причина по которой мы наверное больше не будем публиковать подобную информацию в открытом доступе банальна автору шифратора никто не мешает доработать свои шифраторы в ответ на эту инструкцию.

Каково, в таком случае . решение проблемы?

mike 1
06.05.2014, 13:35
Каково, в таком случае . решение проблемы?
Без оригинального дешифратора, который есть только у автора этого шифратора расшифровать файлы пока не получится. Потому решения нет.

Nikato
15.05.2014, 16:02
Прошу подсказать.
Я сделала всё по вашей инструкции расшифровки файлов с расширением Support@casinomtgox.com_lot XXXX. Но программа TE102decrypt.exe, установленная на диск С не запускается. Она пишет после нажатия на "продолжить" "неверные параметры командной строки". Что делать?

mike 1
15.05.2014, 16:33
Прошу подсказать.
Я сделала всё по вашей инструкции расшифровки файлов с расширением Support@casinomtgox.com_lot XXXX. Но программа TE102decrypt.exe, установленная на диск С не запускается. Она пишет после нажатия на "продолжить" "неверные параметры командной строки". Что делать?
Скриншот сделайте того что ввели в командной строке. + Версию утилиты DrWeb уточните.

Nikato
17.05.2014, 12:37
Утилита установилась, сделала копии всех файлов. Но при открытии файлов с расширением doc появляется надпись: Преобразование файла, Выберите кодировку, которая позволит прочитать ваш документ. Выбираю Windows( по умолчанию), файл открывается , в нем набор значков и символов.
Расшифровать пыталась с помощью утилиты te102decrypt.exe, для расширения support@casinimtgox.com_ lot2020 -k207.

mike 1
17.05.2014, 12:59
Nikato значит попали на модифицированную версию шифратора.

Nikato
17.05.2014, 13:26
Nikato значит попали на модифицированную версию шифратора.

Спасибо за то,что пытаетесь помочь! Возможна ли когда-нибудь расшифровка?

mike 1
17.05.2014, 13:45
Спасибо за то,что пытаетесь помочь! Возможна ли когда-нибудь расшифровка?
Если кто-то поделится, то будет возможна. Однако ключи в этой теме больше публиковаться не будут.

Losthuman
26.05.2014, 20:04
Если кто-то поделится, то будет возможна. Однако ключи в этой теме больше публиковаться не будут.

Делюсь. Пострадали 2 компьютера в офисе. Стоял NOD32 5 версии.
Пришло письмо (можно открыть в MS Word, только ссылку ДОКУМЕНТЫ не нажимайте - по ней похоже и происходит заражение - скачивается архив с трояном-шифровальщиком и запускается. В итоге получаются такие вот файлы: оригиналы+зашифрованные (http://vosk.me/virus/files.zip) (ARX1.ZIP.Support@casinomtgox.com)

письмо выглядит примерно так:

475810

и ссылка "ДОКУМЕНТЫ" на вирус: [удалено]





Вот что в журнале NOD32:


<RECORD>
<COLUMN NAME="Время">
<DATE>26.05.2014</DATE>
<TIME>4:17:23</TIME>
</COLUMN>
<COLUMN NAME="Модуль сканирования">Модуль сканирования файлов, исполняемых при запуске системы</COLUMN>
<COLUMN NAME="Oбъeкт">файл</COLUMN>
<COLUMN NAME="Имя">Оперативная память = Судебный приказ - судебное постановление, вынесенное судьей единолично на основании заявления о взыскании денежных сумм или.exe(3132)</COLUMN>
<COLUMN NAME="Bиpуc">модифицированный Win32/Filecoder.NAM троянская программа</COLUMN>
<COLUMN NAME="Дeйcтвиe">очищен удалением</COLUMN>
<COLUMN NAME="Пoльзoвaтeль"></COLUMN>
<COLUMN NAME="Информация"></COLUMN>
</RECORD>
...
<RECORD>
<COLUMN NAME="Время">
<DATE>23.05.2014</DATE>
<TIME>10:05:26</TIME>
</COLUMN>
<COLUMN NAME="Модуль сканирования">Защита в режиме реального времени</COLUMN>
<COLUMN NAME="Oбъeкт">файл</COLUMN>
<COLUMN NAME="Имя">C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\M2BJYT78\temp[1]\obrazetcs-postanovleniya.jpg</COLUMN>
<COLUMN NAME="Bиpуc">Win32/Filecoder.AL.Gen троянская программа</COLUMN>
<COLUMN NAME="Дeйcтвиe">очищен удалением - изолирован</COLUMN>
<COLUMN NAME="Пoльзoвaтeль">GLAVBUH\Glavbuh</COLUMN>
<COLUMN NAME="Информация">Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\WinRAR\WinRAR.exe.</COLUMN>
</RECORD>

Losthuman
26.05.2014, 20:21
Если кто-то поделится, то будет возможна. Однако ключи в этой теме больше публиковаться не будут.

архив с зашифрованными файлами и оригиналами: http://vosk.me/virus/files.zip

Зашифрованные файлы имеют вид: "ARX1.ZIP.Support@casinomtgox.com"

Заражение происходит через ссылку: [удалено]


Жертве приходит письмо с темой: Cудебный пристав

внутри письма картинка и вышеуказанная ссылка в виде слова "ДОКУМЕНТЫ" - расположенная под картинкой

475815

На компьютере где произошёл инцидент стоит антивирус NOD32 5. В журнале антивируса есть такие строчки:


<COLUMN NAME="Имя">Оперативная память = Судебный приказ - судебное постановление, вынесенное судьей единолично на основании заявления о взыскании денежных сумм или.exe(3132)</COLUMN>

<COLUMN NAME="Bиpуc">модифицированный Win32/Filecoder.NAM троянская программа</COLUMN>

<COLUMN NAME="Дeйcтвиe">очищен удалением</COLUMN>



COLUMN NAME="Имя">C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\M2BJYT78\temp[1]\obrazetcs-postanovleniya.jpg</COLUMN>

<COLUMN NAME="Bиpуc">Win32/Filecoder.AL.Gen троянская программа</COLUMN>

<COLUMN NAME="Дeйcтвиe">очищен удалением - изолирован</COLUMN>


В общем почистить заразу - антивирус почистил, но шифровальщик всё же успел зашифровать все документы, фотографии и DBF-файлы на компьютере и сетевом диске сервера. Очень надеюсь что появится решение и получится расшифровать.

thyrex
26.05.2014, 21:08
Если письмо сохранилось, сохраните его в eml формате, затем упакуйте его в zip архив и прикрепите в следующем вашем посте

Losthuman
26.05.2014, 21:14
письмо: http://vosk.me/virus/message.zip

smart1k
08.06.2014, 14:43
Если кто-то поделится, то будет возможна. Однако ключи в этой теме больше публиковаться не будут.
Здравствуйте. А как возможно будет узнать о появлении нужного дешифратора?

mike 1
08.06.2014, 15:10
Здравствуйте. А как возможно будет узнать о появлении нужного дешифратора?
Можете спросить в этой теме.

Losthuman
08.06.2014, 17:45
Команда ESET прислала дешифратор (http://vosk.me/virus/decoder.rar) (пароль: clean), но возможно он подходит только к моему варианту ключа шифрования. Попробуйте сначала на одном файле. Рекомендовали распаковать в корень диска. Путь и имя файла нужно указывать полностью с учётом регистра. Либо указать диски как написано в help.txt, что бы расшифровать все файлы. Ключ запуска утилиты /b видимо обязателен. Копии зашифрованных файлов остаются, если нормально расшифрует - их можно потом удалить.

Вымогатель потребовал кстати 1 биткоин за утилиту расшифровки.

smart1k
11.06.2014, 10:57
Подскажите, для версии lot5011 есть дешифратор?

mike 1
11.06.2014, 16:08
Подскажите, для версии lot5011 есть дешифратор?
Нету

timon1007
14.06.2014, 14:29
Alexander Lirmak для вашей версии нашел способ как расшифровать файлы инструкцию получите в конце лечения в разделе Помогите. Ключи которые могут помочь без номера для версии Casino здесь публиковаться мной не будут т.к. есть большой риск убить окончательно файлы.

Добрый День ! У меня похожий случай как у Alexander Lirmak, помогите пожалуйста расшифровать файлы.

mike 1
14.06.2014, 14:53
Добрый День ! У меня похожий случай как у Alexander Lirmak, помогите пожалуйста расшифровать файлы.
Создайте свою тему в разделе Помогите.

Afono4ka
05.07.2014, 22:03
Подскажите, если ли дешифратор для файлов типа casinomtgox.com_lot2004?

mike 1
05.07.2014, 22:16
Подскажите, если ли дешифратор для файлов типа casinomtgox.com_lot2004?
Не встречалось.

athelas
07.07.2014, 12:58
Подскажите, если ли дешифратор для файлов типа casinomtgox.com_lot5029

thyrex
07.07.2014, 13:08
Нет

student000
13.07.2014, 13:12
Доброго времени суток!
Не появилось ли дешифратора для этого вируса?
http://virusinfo.info/showthread.php?t=161575

thyrex
27.07.2014, 17:28
Нет, не появилось

Dosmant
30.07.2014, 14:20
На casinomtgox.com_lot5011 ничего не появилось?

mike 1
30.07.2014, 20:35
На casinomtgox.com_lot5011 ничего не появилось?
Полноценной расшифровки нет.

DerGeist
05.08.2014, 10:35
Расшифровать Support@casinomtgox.com_lot4000 помогла вот эта программка (http://media.kaspersky.com/utilities/VirusUtilities/RU/rectordecryptor.zip). Можно попробовать и на других лотах. Надеюсь, кому-нибудь пригодиться. Всем удачи! :thumbs:

степан as9sa
31.08.2014, 02:27
Большое спасибо!!! Support@casinomtgox.com_lot2001, все получилось!!!

jexxxxx
24.10.2014, 14:43
Здравствуйте! Подскажите пожалуйста есть ли дешифратор для Support@casinomtgox.com_lot4002?
Шифровка произошла где-то 04.2014 но до сих пор нету упоминаний в темах на форуме и вообще в сети, это что-то из новенького?:)

- - - - -Добавлено - - - - -

P.S. Не одна утилита предложенная в теме не помогла....

mike 1
24.10.2014, 14:56
jexxxxx а сам шифратор сохранился?

jexxxxx
25.10.2014, 08:32
Не совсем понял вопроса... файл трояна? если так - тогда нет. После заражения я переустановил систему, остались только зашифрованные данные jpg, xhls, word, pdf и т.д. т.д.
Что интересно незадолго до заражения я купил лицензионный Каспер, а после заражение его на компе не оказалось, как будто вирус его снес...)

mike 1
25.10.2014, 11:34
После заражения я переустановил систему
Печально. Само письмо сохранилось или со страха удалили?

Vas ART
28.11.2014, 18:06
Добрый вечер! Вижу у многих в апреле отработал вирус шифровальщик будь они не ладны... Не появился ли код для Support@casinomtgox.com_lot5005 ???

mike 1
28.11.2014, 18:22
Нет

Ирина Дикур
17.01.2015, 12:44
Support@casinomtgox.com_lot5011 не появился код.Спасибо

mike 1
17.01.2015, 13:03
Нет.

Denis_R
11.02.2015, 08:12
Приветствую, уважаемые специалисты. Помогите пожалуйста советом.
Где-то в апреле подхватил трояна, который зашифровал все фотки и приставил к названиям "Support@casinomtgox.com_lot2003"
Вероятно, этот lot2003 - под звёздочкой, т.е. утилита te102decrypt.exe с параметром -k 192 не помогает. Так же не помог и RectorDecryptor последней на сегодня версии.
Вопрос - есть ли на сегодняшний день рабочий дешифратор? На руках имею рабочую ОС с сидящим в ней трояном, но письмо с электронки с трояном утеряно. Есть ли смысл собирать логи/карантины авз-ом, HijackThis-ом и создавать тему в разделе "помогите" ?
Заранее благодарю за уделённое время.

33lab
27.02.2015, 10:06
Уважаемые, появился ли дешифратор для Support@casinomtgox.com_lot3024?

mike 1
02.03.2015, 16:49
Уважаемые, появился ли дешифратор для Support@casinomtgox.com_lot3024?
Нет.

Александр Лымарь
05.03.2015, 19:06
Файлы зашифрованные lot-5030 розшифровал с помощью te102decrypt.Сделал все как указанно в инструкции.Программа сделала розшифрованние копии зашифрованных фото.Только фото не открываются.Пишет(средство просмотра фотографий windows не может открыть это изображение поскольку формат данного файла не поддерживается или отсутствуют последние обновленния средства просмотра изображений).Подскажите, пожалуйста, что делать?!Может te102decrypt попросту штампует файлы пустышки?

mike 1
05.03.2015, 22:15
(*) - Встречались такие же версии, где автор шифратора изменил ключ шифрования в доработанных версиях шифратора. В этом случае предложенные ключи запуска утилиты DrWeb вам могут не помочь.
...

Сергей Шереметов
12.03.2015, 11:54
lot5007, появился дешифратор?

mike 1
26.03.2015, 21:48
lot5007, появился дешифратор?
Нет.

Sergey1810 ваше сообщение удалено, т.к. к этой теме оно никак не относится. Создайте тему в разделе Помогите.

x13skater
17.11.2015, 18:00
а для такого support@casinomtgox.com_lot3016 есть код расшифровки?

- - - - -Добавлено - - - - -

lot3016, появился дешифратор?

thyrex
17.11.2015, 18:11
Нет, и вряд ли уже появится

mike 1
17.11.2015, 20:00
а для такого support@casinomtgox.com_lot3016 есть код расшифровки?

- - - - -Добавлено - - - - -

lot3016, появился дешифратор?
Попробуйте воспользоваться RectorDecryptor от Kaspersky.

Snowball86
30.11.2015, 10:53
Добрый день. Для "Support@casinomtgox.com_lot2014" есть что-нибудь?

mike 1
30.11.2015, 13:04
Добрый день. Для "Support@casinomtgox.com_lot2014" есть что-нибудь?
Попробуйте воспользоваться RectorDecryptor от Kaspersky.