PDA

Просмотр полной версии : Шифровальщик [Trojan-Ransom.Win32.Cryakl, Trojan.Encoder.567] версии 6.1.0.0.b



Страницы : [1] 2

sergh1970
09.02.2015, 15:56
Пишу программу по дешифровке файлов зашифрованных этим вирусом.
Столкнулся со сложностью. Мне попалось всего три компьютера зараженных этой пакостью.
Файлы расшифровал, компьютеры забрали.
Для дальнейшей отладки программы, чтобы она могла все расшифровывать самостоятельно без моего вмешательства мне необходимы зашифрованные файлы.
Файлы нужны большими массивами (>1000шт.) зашифрованными одним ключем.
По двум, трем файлам ключ не восстановишь.
Обычно это не проблема т.к. вирус на любом компьютере только системных, программных файлов шифрует не одну тысячу.
Тем, кто откликнется буду предоставлять дешифратор с восстановленным ключом к их компьютеру.

Alexander Kolchanov
10.02.2015, 09:00
есть файлы -куда слать?

multiple
11.02.2015, 09:57
аналогично, отправь адрес почты.

Дмитрий Васильченко
11.02.2015, 16:14
Куда слать фалйы?

shadowvrn
12.02.2015, 15:32
+1 Вышлю..

Константин Сюсюкин
12.02.2015, 17:11
Как раз вчера в одной компании поймали этот вирус на 2 пк, скинул ссылку на архив с зашифроваными файлами в личку.

GoodStory
14.02.2015, 09:13
Также цать тысяч шифрованных программных и системных файлов могу выложить на яндекс-диск.
Ток версия "...ver-4.0.0.0.cbf", пойдет? :)

sergh1970
14.02.2015, 10:54
GoodStory, извините но версия 4.0.0.0 сейчас уже не актуально.

GoodStory
14.02.2015, 14:48
Неактуально в каком смысле? Типа победили четвертую версию? :)
Или неактуально для вас, т.к. исследуете именно 6.1.0.0.b?

sergh1970
14.02.2015, 16:23
GoodStory, потому что исследую 6.1.0.0.b

shadowvrn
16.02.2015, 10:18
Ссылка в личке...

ekinci
17.02.2015, 20:09
Отправил на почту!

Alexander Kolchanov
18.02.2015, 08:25
Монстр. Все расшифровалось. Спасибо!

ekinci
18.02.2015, 10:10
Монстр. Все расшифровалось. Спасибо!

А по времени долго получилось???

TATIA
18.02.2015, 10:23
Здравствуйте! Помогите расшифровать файлы, зашифрованные трояном. Могу прислать очень много файлов. Все файлы имеют расширение:id-8362160781_xsmail@india.com

thyrex
18.02.2015, 11:44
TATIA, у Вас совершенно иной тип шифрования

Alexander Kolchanov
18.02.2015, 12:49
А по времени долго получилось???

3 дня, 2500 файлов отправил
чем больше файлов - тем быстрее. Видать таблицу мастер-ключа проще составлять. Вероятности выше и комбинаций больше

Marat0ss
18.02.2015, 13:31
3 дня, 2500 файлов отправил
чем больше файлов - тем быстрее. Видать таблицу мастер-ключа проще составлять. Вероятности выше и комбинаций больше

Все файлы 100 % расшифровались? Не осталось поврежденных или пустых? Где-то была инфа, что после покупки дешифратора у злоумышленника часть данных криво расшифровалась.

sergh1970
18.02.2015, 13:49
Marat0ss, Естественно на 100%, файлы расшифровывались с родным мастер-ключем.
Вирус - бывает не дописывает информацию в конце, и тогда файл расшифровать невозможно.
Часто вирус шифрует файл, а название не меняет. Такие файлы надо искать по содержимому.
{CRYPTENDBLACKDC} и переименовывать в cbf. После перезагрузки вирус такие файлы шифрует
по второму разу с другим ключем.
Единственный глюк у дешифратора, если в папке уже есть файл с таким именем, он не меняет название у
расшифрованного файла. Но на практике такое маловероятно.

TATIA
18.02.2015, 14:16
TATIA, у Вас совершенно иной тип шифрования

А возможно ли расшифровать такие файлы?

sergh1970
18.02.2015, 14:28
Расшифровать можно все. Вопрос только в том, сколько времени на это понадобится, и какие мощности.

thyrex
18.02.2015, 18:34
Без оригинального ключа невозможно

TATIA
18.02.2015, 19:04
Без оригинального ключа невозможно
А как быть, если за оригинальный ключ просят очень много денег? У меня их нет! Двое детей все вытаскивают!

- - - - -Добавлено - - - - -

Что для этого нужно?

thyrex
18.02.2015, 23:23
Что для этого нужно?Пару суперкомпьютеров. Быть может за пару лет справятся

ZliDeHb
19.02.2015, 14:36
Столкнулся с такой же проблем проблемой почти все файлы привратились в *watnik91@aol.com-ver-6.1.0.0.b.cbf. Высылаю в личку ссылку на архив с 9к файлами. Надеюсь на помощь, за рание СПАСИБО!

ладимир
22.02.2015, 11:40
комп заражен вирусом encoder 858 определил с помощью доктор веб кьюрит. нужны ключи для дешифровки.

mike 1
22.02.2015, 13:04
комп заражен вирусом encoder 858 определил с помощью доктор веб кьюрит. нужны ключи для дешифровки.
Вы хотя бы читали в какую тему пишите. Причем здесь 858 шифратор, если тут обсуждение идет 567 шифратора?

ZliDeHb
24.02.2015, 15:22
sergh1970, Спасибо тебе БОЛЬШОЕ! Почти все расшифровал.:094:

2BEATtakeA
24.02.2015, 15:48
помогите пожалуйста, точно такой же вирус, пришлю все зашифрованные файлы

back1959
25.02.2015, 13:37
GoodStory, извините но версия 4.0.0.0 сейчас уже не актуально.

Подскажите, пожалуйста, может имеется дешифровальшик для версии 4.0.0.0 ?

sergh1970
25.02.2015, 14:14
Нет для версии 4.0.0.0 дешифровальщика нет. Мне этот вирус не попадался, а не исследовав вируса, дешифровальщик написать невозможно.

sergh1970
27.02.2015, 02:48
Есть еще желающие расшифровать свои файлы?
Всем, кто ко мне обратился я помог.
А новых почему то нет.

Shev15
27.02.2015, 12:07
Здравствуйте, после шифрации имя файла zxgndkrrsyfl.hpd.id-{ODVNFDBGYWNSDUMDVNLPNYQHZKOZXINRJUFJ-26.02.2015 17@41@30339841}-email-watnik91@aol.com-ver-6.1.0.0.b.cbf. Есть возможность дешифрации?

IgAiSt
27.02.2015, 20:18
Есть еще желающие расшифровать свои файлы?
Всем, кто ко мне обратился я помог.
А новых почему то нет.
Здравствуйте, есть желающий
Троянский конь Inject2.BQEC
watnik91@aol.com-ver-6.1.0.0.b.cbf
надеюсь на Вашу помощь, и жду инструкций что от меня требуется выслать для расшифровки файлов
писать лучше на почту denisovсобакаdvorecnn.ru, там я общаюсь с этим ватником)

2BEATtakeA
27.02.2015, 20:23
sergh1970, огромное спасибо вам за расшифровку файлов!! 3 дня ушло, отправил сам вирус и дело пошло быстрей)
файлы были зашифрованы так
..... *watnik91@aol.com-ver-6.1.0.0.b.cbf
все восстановилось!! только на этом форуме реально помогли.

Merowingen
01.03.2015, 13:39
Здравствуйте! Поймался вирус troyan.encoder.567. Есть большое желание расшифровать файлы, и заплатить при этом не мошенникам, а честным программистам. Есть ли возможность связаться с Вами для обсуждения вопроса? Если есть возможность позвонить - мой телефон +79175818592, Александр.
P.S. извиняюсь, что написал конкретно в эту тему - но в ней уже говорится о той же модификации вируса. еще извиняюсь за предложение денег - но, насколько я знаю, это не запрещено.
да, в расширение файлов добавлено email-moshiax@aol.com-ver-6.1.0.0.b.cbf.
где посмотреть тело вируса - не знаю.
да, еще - есть возможность организовать несколько виртуальных (или не очень) серверов для отработки расшифровки.

zhenya24
01.03.2015, 19:08
Здравствуйте. Тоже словил эту дрянь сегодня 1 марта. Сейчас вышлю в личку. Может поможете :)

el_kovaleva@list.ru
02.03.2015, 14:00
Здравствуйте, на той недели в компьютер попал вирус. В Dr.Web мне сказали, "Зашифровано одним из вариантов Trojan.Encoder.567 (ver.6.1). Никаких способов расшифровать такое на данный момент не известно.
Ведутся исследования. Прогноз, к сожалению, плохой : никаких даже путей для разработки декриптора не видно."
Для помощи могу прислать, зашифрованные файлы. Очень надо расшифровать базы

incub4
02.03.2015, 14:27
Отправил вличку архив(1001 файлов). Жду помощи)

Abramov
02.03.2015, 14:41
Пишу программу по дешифровке файлов зашифрованных этим вирусом.
Столкнулся со сложностью. Мне попалось всего три компьютера зараженных этой пакостью.
Файлы расшифровал, компьютеры забрали.
Для дальнейшей отладки программы, чтобы она могла все расшифровывать самостоятельно без моего вмешательства мне необходимы зашифрованные файлы.
Файлы нужны большими массивами (>1000шт.) зашифрованными одним ключем.
По двум, трем файлам ключ не восстановишь.
Обычно это не проблема т.к. вирус на любом компьютере только системных, программных файлов шифрует не одну тысячу.
Тем, кто откликнется буду предоставлять дешифратор с восстановленным ключом к их компьютеру.

Есть файлы. Около 6000 штук. Как отправить?

sergh1970
02.03.2015, 15:05
Здесь на форуме ограничение. Максимум 5 сообщений в день.
Поэтому не обижайтесь, если не отвечаю.

mike 1
02.03.2015, 16:49
Внимание. Появилась 7 версия этого шифратора.

sergh1970
02.03.2015, 16:52
Значит моя деятельность не осталась без ответа.
Посмотрим, что они там придумали.
Может быть хотя бы исправили, чтобы несколько копий вируса не могли
работать одновременно.
Потому что после такой шифровки расшифровать файлы не сможет уже никто

prv3
02.03.2015, 21:27
Да, могу прислать зашифрованные файлы. Скажи куда? Также есть единственная пара - оригинальный файл и зашифрованный. Мне прислал расшифрованный тот умник с moshiax@aol.com в качестве доказательства, и попросил 15000 за дешифратор.

KOLOBON
02.03.2015, 21:58
Сегодня тоже словил версию 7.
acdeghhiklmm.opq.id-{IKKKLMMNNOOOPPQQRRSSTTTTUUVVWWXXXXYY-02.03.2015 10@25@474081667}-email-watnik91@aol.com-ver-7.0.0.0.cbf

mike 1
02.03.2015, 22:36
Сегодня тоже словил версию 7.
acdeghhiklmm.opq.id-{IKKKLMMNNOOOPPQQRRSSTTTTUUVVWWXXXXYY-02.03.2015 10@25@474081667}-email-watnik91@aol.com-ver-7.0.0.0.cbf
Пришлите мне в ЛС вложение из письма. Также рекомендую создать тему с логами в разделе Помогите.

sergh1970
03.03.2015, 15:33
Проверку не сделали.
И в этой версии могут одновременно работать несколько экземпляров вируса и
безвозвратно портить файлы.

sergh1970
06.03.2015, 10:54
Переписал программы по новую версию 7.0.0.0
Уже восстановил ключи на двух компьютерах.
Тем кто успел пострадать от этой заразы. Обращайтесь. Помогу.

mshk
07.03.2015, 15:51
Есть еще желающие расшифровать свои файлы?
Всем, кто ко мне обратился я помог.
А новых почему то нет.
Здравствуйте. А есть ли возможность расшифровки файлов, зашифрованных версией 5.0.0.0? Зашифровано более 30 000 файлов. Какого типа / размера файлы лучше отправлять? Также есть достаточно много незашифрованных оригиналов. Заранее спасибо.

Akim44
08.03.2015, 15:33
Есть еще желающие расшифровать свои файлы?
Всем, кто ко мне обратился я помог.
А новых почему то нет.
Здравствуйте, зашифровались файлы, все они переименовались в …moshiax@aol.com-ver-6.1.0.0.b.cbf, вот ссылка на вредоносный файл [удалено], выложил больше 2000 файлов архив, на Яндекс диск ссылку отправил вам в личку, пожалуйста помогите.

Вирусы запрещено выкладывать на форуме в открытом доступе!

Виктор Синякин
09.03.2015, 14:47
Добрый день. видел, что с версией 4.0 не помогаете, но может потому что у вас нет самого вируса?!))
все файлы вида: gwt-user.jar.id-{BCDEEFFGHIIIJJKLMMNNNOPPQRRRSTTUVVWW-09.03.2015 3@45@149611454}-email-base1c1c1c@gmail.com-ver-4.0.0.0.
Могу отправить вам экзешник вируса. Помогите. очень много инфы зашифровано(((

sergh1970
13.03.2015, 19:00
Есть кто нибудь, пострадавший от 8 версии вируса?
Отзовитесь.
Очень хочу посмотреть, что эти вымогатели еще придумали.

tev68
14.03.2015, 21:22
sergh1970, Куда кинуть файлы? правда у меня 6 версия.

t0rr
16.03.2015, 10:58
Добрый день!
Я школьный системный администратор. На компьютер одного из сотрудников попал вирус moshiax aol. Версия 8.0.0.0

Подскажите, как данный вирус попадает на компьютеры? Стоял работающий Касперский с последними базами, толку 0.

Готов выслать много файлов для изучения и для расшифровки.

mike 1
16.03.2015, 13:01
Подскажите, как данный вирус попадает на компьютеры?
Только через письма счастья.

thyrex
16.03.2015, 14:38
Готов выслать много файлов для изучения и для расшифровки.Можете собрать коллекцию из 10000 файлов разного типа?

t0rr
16.03.2015, 16:55
Можете собрать коллекцию из 10000 файлов разного типа?

Нет разного типа, зашифрованы только docx и doc. Могу скинуть архив около 1000 файлов (больше физически нет)

thyrex
16.03.2015, 18:20
Скидывайте. Если есть зашифрованные xls, xlsx, ppt, pptx, то и их тоже

t0rr
16.03.2015, 18:32
Скидывайте. Если есть зашифрованные xls, xlsx, ppt, pptx, то и их тоже

Зашифрован только Word.
Excell, Powerpoint и другие форматы офиса остались нетронутыми.

У Вас личка закрыта, а сюда нельзя выкладывать ссылки на такие файлы.

mike 1
16.03.2015, 19:08
Выложите на файлообменник в архиве файлы, а ссылку пришлите мне или Тирексу на e-mail.

t0rr
16.03.2015, 19:13
Выложите на файлообменник в архиве файлы, а ссылку пришлите мне или Тирексу на e-mail.

Где email-то взять?

mike 1
16.03.2015, 20:31
Где email-то взять?
В профиль Тирекса зайдите.

sigmatik
17.03.2015, 09:47
Тоже поймали эту гадость, и очень хотим расшифровать файлы. Буду бесконечно благодарен Вам, если поделитесь дешифратором. Есть только один нюанс: я не знаю версии вируса :( . Поймали мы его 13.03.2015, DrWeb опознает его как Trojan.Encoder.567 , то есть судя по всему это или 6 или 7 версия, поэтому прошу поделится дешифраторами для обоих версии. Заранее огромное спасибо.

UPD:
Кажется я ошибался насчет версии. Судя по всему у нас версия 8 ! Случайно обратил внимание на имя зашифрованного файла, и если последние цифры не врут, то мы имеем дело с версией 8 :(

Вот файл https://yadi.sk/d/XUEwyuLJfJKT2
А вот его имя
dgkloqtvyacfhkmpruvyadehilnpruvyacehj.mor.id-{ZABCDEFFGHHIJKLLLMNOPQQRRSTUUVWWXYZZ-13.03.2015 7@50@026142057}-email-mserbinov@aol.com-ver-8.0.0.0

sergh1970
17.03.2015, 10:07
Дешифратор для 8 версии я Вам прислать могу.
А что Вы будете с ним делать без ключа?
Просто при каждом сеансе шифрования вирус генерирует случайным образом ключ,
по этому ключу файлы и шифруются.

sigmatik
17.03.2015, 10:19
Дешифратор для 8 версии я Вам прислать могу.
А что Вы будете с ним делать без ключа?
Просто при каждом сеансе шифрования вирус генерирует случайным образом ключ,
по этому ключу файлы и шифруются.
Где взять ключ ?

sergh1970
17.03.2015, 10:31
Где взять ключ ?
Вот теперь вопрос по существу.
Если Вы перезагружали компьютер, может быть и не один ключ.
При каждом запуске вирус генерирует новый ключ.
У меня был рекорд 6 ключей на одном компьютере.
Для 6,7 версии я восстанавливаю ключи по зашифрованным файлам.
С 8 версией надо разбираться, она только появилась.

sigmatik
17.03.2015, 10:46
С момента заражения компьютер перезагружали несколько раз. В наличии есть как зашифрованные файлы, так и сам вирус ( вложение из письма ) . Буду ждать ваших рекомендаций.

Алла Журавкина
17.03.2015, 10:50
Я готова отправить на расшифровку 3-4 базы 1С.все файлы имеют окончание mserbinov@aol.com ver 6.1.00.b.cbf!!!! Помогите христа ради! Напишите куда.Вы последняя моя надежда( Жду

Да, одна база имеет зашифрованные файлы, но (как мне сказали) во время заражения она была активна и поэтому оригиналы файлов вирус не удалил.Она рабочая.может пригодиться?

sergh1970
17.03.2015, 11:14
С момента заражения компьютер перезагружали несколько раз. В наличии есть как зашифрованные файлы, так и сам вирус ( вложение из письма ) . Буду ждать ваших рекомендаций.
Пока только ждать.

Игорь Гафаров
17.03.2015, 12:56
Доброго времени суток.
Есть файлы с названием "ydhlpswzdgknrvybeilpsvz.cgj.id-{PSVXBEGKMOSUXADGJLORTWZCFHLNQTVYBDHJ-04.03.2015 8@04@356935546}-email-mserbinov@aol.com-ver-7.0.0.0.cbf".
количество >2300
на какой файлобменник лучше выложить? какие файлы? на чью почту скинуть ссылку ?
тема в ветке помогите http://virusinfo.info/showthread.php?t=179208&p=1244009#post1244009.
заранее спасибо!

sikstina
18.03.2015, 12:40
Здравствуйте! Тетя словила этот вирус к себе на комп. Вирус переименовал файлы и в конце каждого файла есть -email-mserbinov@aol.com - ver 7 . Вы не могли бы помочь с дешифратором? Сколько файлов надо будет прислать?

ppaann
25.03.2015, 10:19
Есть какие нибудь новости в 8 версии? (вообщето очень интересует 4, но она как-то связана с 8...)

sergh1970
25.03.2015, 17:04
Пока новостей нет.
С людьми, которые от 6,7 версии пострадали разберусь и буду заниматься.

- - - - -Добавлено - - - - -

Может кто нибудь поделиться зашифрованными 8 версией файлами для экспериментов.
Только нужно много файлов. В районе двух тысяч.

AlexxxSol
26.03.2015, 14:03
Добрый день! Помогите пожалуйста. Все файлы формата docx зашифровались вот этим - ehjkmnpqrtuvwyzabceeghjjlmnoprrtuwwyzabdefghjjlmo. prs.id-{EGGGIJJKKLMNNOPPQRRSTTUUVWXYYYZABCCC-26.03.2015 11@08@371185880}-email-moshiax@aol.com-ver-8.0.0.0 . Можно с этим что-то сделать? Сохранилось письмо с вредоносной программой.

nick145
02.04.2015, 14:53
>Михаил Захаров
>Сергей, в этой http://virusinfo.info/showthread.php?t=176901&pag..
>теме ссылку на архив с файлами выкладывайте

Поймали Trojan-Ransom.Win32.Cryakl.es по классификации Касперского.
На выходе получились зашифрованные файлы с добавлением email-mserbinov@aol.com-ver-8.0.0.0.cbf.
По согласованию с Михаилом Захаровым, выкладываю ссылку на архив (более 3100 файлов).
http://rusfolder.com/43364499


Тело вируса высылал в лаб. Касперыча, его классифицировали и пообещали выложить обновление
для детектирования. Насчет этого не обманули. По расшифровке молчат...

Если получится, попробую вернуть тело, чтобы выложить для изучения и помощи
с расшифровкой энтузиастам.

- - - - -Добавлено - - - - -

http://rusfolder.com/43364499

Более 3100 файлов. Просьба сообщить после скачивания, удалю ссылку...
Спасибо за понимание.

noxxt
02.04.2015, 15:25
Здравствуйте, сегодня в компьютер попал вирус, зашифровались файлы с расширением{JKLLMNNOPPQRRRSTUUVVVWXYYZAAABCCDEEE-02.04.2015 10@46@341139714}-email-moshiax@aol.com-ver-6.1.0.0.b.cbf. В Dr.Web мне сказали, "Зашифровано одним из вариантов Trojan.Encoder.567 (ver.6.1). Никаких способов расшифровать такое на данный момент не известно.
Ведутся исследования. Прогноз, к сожалению, плохой : никаких путей для разработки декриптора не видно."
Для помощи могу прислать, зашифрованные файлы. Очень надо расшифровать 13k файлов.

mike 1
02.04.2015, 15:31
Для помощи могу прислать, зашифрованные файлы.
Ссылку на архив с файлами выкладывайте в теме. Только файлов нужно много в районе 3000 тысяч.

2104
02.04.2015, 18:05
Добрый вечер!
Знакомая попалась на этот вирус. Версия 8. Закодированы оказались файлы с расширением .doc, .rtf, .jpg, .xls, но файлы .xlsx не тронули.
Пример имени файла: ftcyhovfbuzhsmsvgxkrfxqrwcmsgpvs.uoc.id-{JFMAWOYIWRQQAOOCMBPEDRGFESHVUJXWLZNB-30.03.2015 10@02@332976539}-email-watnik91@aol.com-ver-8.0.0.0.cbf
Ссылка на архив 2000 файлов: https://yadi.sk/d/Dc2jPs7XfhgRz
Если нужно, могу залить куда-нибудь сам вирус из папки Program Files/xexe. Яндекс.диск его кушать не хочет...и правильно.
Помогите, пожалуйста! На вас последняя надежда. Спасибо!

ppaann
02.04.2015, 19:02
Хочу поделится! Большинство офисных файлов удалось восстановить прогой Easy Office Recovery (портэйбл версия (https://yadi.sk/d/UO9gGByffhkMW))
Некоторые восстановились полностью, некоторые частично повреждены. Были конечно и те, которые не удалось восстановить. Вирус шифрует начало, середину файла и вставляет в конец инфу, поэтому наверное и удается восстановить файлы. Кстати базы 1С 8 восстановились вообще практически без проблем (с помощью chdbfl.exe, здесь было на форуме)...

Буду рад, если это кому-то поможет!

зы Забыл сказать, словил версию 4.0.0.0

mike 1
02.04.2015, 19:29
Если нужно, могу залить куда-нибудь сам вирус из папки Program Files/xexe
Вирус упакуйте в zip архив с именем и паролем virus и отправьте его через данную форму (http://virusinfo.info/upload_virus.php?tid=37678)

2104
02.04.2015, 19:35
Вирус упакуйте в zip архив с именем и паролем virus и отправьте его через данную форму (http://virusinfo.info/upload_virus.php?tid=37678)

Сделано. "Файл сохранён как 150402_203419_xexe_551d6f8b3346c.zip"

volod0371
02.04.2015, 20:27
Куда прислать файлы? Адрес почты?

volod0371
03.04.2015, 16:22
Здравствуйте sergh1970. Куда прислать файлы?

mike 1
03.04.2015, 18:26
Здравствуйте sergh1970. Куда прислать файлы?
Файлы грузите на Яндекс диск и выкладывайте ссылку здесь. Нужно много файлов около 3000 файлов. Когда у sergh1970 будет время тогда он их посмотрит.

sergh1970
03.04.2015, 20:34
С расшифровкой 8 версии вряд ли что то получится.
Там автор вируса исправил ошибки, которые позволяли расшифровывать файлы в 6 и 7 версиях.
Вернулся к шифрованию по MD5 от выборки из ключа. MD5 функция необратимая и
восстановить выборку в 0x200 значений из 0x21 MD5 практически нереально.
Никаких других лазеек для восстановления ключа я найти не смог.
Большое спасибо всем, кто прислал мне зашифрованные 8 версией файлы.
У меня теперь для экспериментов их достаточно.
Я эксперименты продолжу, но надежды очень мало, так что с расшифровкой помочь
я Вам вряд ли смогу.

Magnum43
07.04.2015, 14:44
Здравствуйте, мил форумчане.
Предыстория: Доблестный секретариат получил письмо от "Приставов" с ссылкой и тут понеслось. Не знаю что сподвигло доблестную сотрудницу отправить еще двум коллегам, возможно нежелание отгребать в одиночку. В итоге 3 рабочие станции с примерно 30к разных и архиважных документов(в основном .doc, .docx, .xls, .xlsx). Компьютеры не ребутили, файлы после не трогали, разве что избавился от temp'ов.
Прошу помощи с расшифровкой mserbinov@aol.com-ver-6.1.0.0.b.cbf
Залил зашифрованные файлы с одного ПК, по рекомендациям ранее(около 3000 разных), на файлообменник ссылко (https://yadi.sk/d/jf-eKaGtfpSL4) virus.

Выручайте, sergh1970. Архивы файлов с других 2-х компьютеров также имеется в наличии, заранее наглеть не буду.

p.s. Также имеется некие логи от зловреда: "upgradelog.txt", exe-шники все потёр, но если что достать из "карантина" можно.

Enforcer015
16.04.2015, 01:45
sergh1970, прошу помощи в дешифровке файлов email-watnik91@aol.com-ver-6.1.0.0.b.cbf
Подробности написал в ЛС.

jenia_ov
16.04.2015, 08:24
Добрый день!
Прошу помощи с расшифровкой
архив с документами - yadisk (https://yadi.sk/d/XqD2hw8Ig2er4)
там в основном офисные документы, поскольку они мало весят. У меня же основная масса зашифрованных файлов это фотографии больших размеров, поэтому их не выкладываю, но если понадобятся то сделаю.
кто напакостил:
lnpqrttvwyyaccefhij.lmo.id-{CDEGHIJKLLNOPQRSTUUVXYZZABCDEFGHIJKL-10.03.2015 10@14@264674777}-email-vpupkin3@aol.com-ver-6.1.0.0.b.cbf

Заранее спасибо!!!

xxxiNAIxxx
19.04.2015, 21:44
Ищу фотографии зашифрованные 8-ой версией, для большей выборки (размер файлов желательно от 200 кб). Пробовал на файлах:

Добрый вечер!
...
Пример имени файла: ftcyhovfbuzhsmsvgxkrfxqrwcmsgpvs.uoc.id-{JFMAWOYIWRQQAOOCMBPEDRGFESHVUJXWLZNB-30.03.2015 10@02@332976539}-email-watnik91@aol.com-ver-8.0.0.0.cbf
...
Ссылка на архив 2000 файлов: https://yadi.sk/d/Dc2jPs7XfhgRz

К сожалению, изображений там мало.

P.s. Если есть еще какие-либо версии не поддающиеся расшифровке, можно тоже скинуть.

sergh1970
19.04.2015, 22:04
А зачем результаты сюда, на всеобщее обозрение результаты выкладывать?
Могли бы хозяину 2104 в личку скинуть.

xxxiNAIxxx
19.04.2015, 22:33
А зачем результаты сюда, на всеобщее обозрение результаты выкладывать?
Могли бы хозяину 2104 в личку скинуть.

fixed. Толку от 2х картинок, одна из которых вообще клипарт.

mike 1
21.04.2015, 20:27
Появилась 9 версия.

Nikki AA
22.04.2015, 12:25
Поймала вирус шифровальщик Troyjan Ransom win 32 crykl версия 6.1.0.0.b. Можно ли как то расшифровать файлы?:(:(:(

avgera
22.04.2015, 18:35
Подскажите, как узнать версию, если в имени файла вместо 6.1.0.0 или прочего указания версии стоит почему-то 0.0.0.0. Блок в конце письма начинается c {ENCRYPTSTART} и заканчивается на {ENCRYPTENDED} - по нему реально?

sergh1970
22.04.2015, 18:46
avgera, это значит, что Вам новая 9-я версия попалась

avgera
22.04.2015, 18:50
Понятно, спасибо. Не самая приятная новость - ее, я так понимаю, никто еще не исследовал, но вряд ли автор наступил на те же грабли повторно...

mike 1
22.04.2015, 18:54
avgera, это значит, что Вам новая 9-я версия попалась
Не совсем. Я похоже ошибся. Это иной шифратор от автора Cryakl.

avgera у вас ссылка из письма на архив с вирусом осталась?

sergh1970
22.04.2015, 18:59
Все равно он на смену 8 версии пришел, и прошлые ошибки автор там
наверно учел.

avgera
22.04.2015, 23:36
Пока не знаю (узнаю завтра), но думаю, что вряд ли.

avgera
23.04.2015, 11:57
Письмо в Треше нашли. Ссылка в письме - но сейчас там уже говорят 404.

maximus888
23.04.2015, 15:42
Всем доброго дня! Вирус email-watnik91@aol.com-ver-6.1.0.0.b.cbf заразил только файлы 1с базы есть файл исходник вируса сможете помочь с разблокировкой и 2 файла баз заражённых>:(

sergh1970
23.04.2015, 22:04
maximus888, 1c8 базы расшифровываются гарантировано, скиньте ссылку в личку.

goldtaurus
24.04.2015, 10:37
Здравствуйте, есть зашифрованная 1с база e-mail moshiax@aol.com вирусы почистили до меня, все остальное осталось без изменений. Есть ли возможность помочь? Базы 1с 7версии

sergh1970
24.04.2015, 10:43
Какая версия вируса и сколько у вас есть зашифрованных файлов?

Nikki AA
24.04.2015, 11:48
Спасибо Вам огромное!!! Все расшифровалось:D Вы просто гений:> . Вы даже не представляете как вы мне помогли:) Спасибо Вам!

goldtaurus
24.04.2015, 13:29
Как узнать версию вируса я не знаю) зашифрованных файлов порядка 5 может больше

sergh1970
24.04.2015, 14:44
goldtaurus, выложите сюда название любого зашифрованного файла

- - - - -Добавлено - - - - -

maximus888, Заберите свою базу. Ссылка в личке.

goldtaurus
24.04.2015, 15:17
abcefgiikmn.opr.id-{ABDEGHJKLMOOQRTTVWXYZBCDEGGHJKLMOPPR-20.04.2015 10@40@375719886}-email-moshiax@aol.com-ver-6.1.0.0.b как я понял версия 6.1.0.0.b

sergh1970
24.04.2015, 17:01
goldtaurus, выложите архив с зашифрованными файлами на любое облако или файлобменник
и скиньте мне в личку ссылку.

spko-asr
27.04.2015, 13:33
Добрый день.
Недавно подхватили такой же вирус, примерное стало название файлов - kdnucjpwcjqxdkqxekrzfntaiovbj.pxd.id-{XEJPWCINTYEJPVBGMRXCIOTZFKQVBHMSYDIO-17.04.2015 11@38@069292670}-email-mserbinov@aol.com-ver-6.1.0.0.b.cbf
Причем, малая часть документов осталась не тронутыми, еще часть не тронуто само название файла (но зашифрован внутри), также частично есть rar архивы папок, пароля не просит, просто говорит что битый архив.
Что это, разные вирусы, или это так один извращался ?! (Подхватили из письма от Областного суда)
Уважаемый sergh1970, Вы сможете помочь расшифровать эти документы ?

sergh1970
27.04.2015, 15:54
Такое бывает, если во время работы вируса комп серьезно загружен,
или запущены одновременно несколько копий вируса.
Выложите на любое облако или файлобменник архив с зашифрованными файлами
и скиньте мне в личку ссылку.

ekmnhf
12.05.2015, 09:37
Здравствуйте!
Сможете ли помочь с расшифровкой? Как написали из техподдержки др.Веб "....Зашифровано одним из вариантов Trojan.Encoder.567 (ver.6.1) Никаких способов расшифровать такое на данный момент не известно. Ведутся исследования...."

С уважением, Станислав.

sergh1970
12.05.2015, 11:39
ekmnhf, смогу помочь. Ответил в личку.

Nikitoz Sc.
13.05.2015, 08:33
Добрый день! Столкнулись с той же проблемой, антивирь пропустил заразу. Зашифрована куча doc, pdf и jpg. Имена вида email-mserbinov@aol.com.ver-CL 0.0.1.0.id-XCIORVXCFINQUYCFKNQVZHKORXCFJNRVAEHM-12.05.2015 8@31@09523619.randomname-SZDGLOSVZCFJNQTWAEHKNRUWBEHKOR.VYB.cbf

Посмотрел, в PDF зашифровано примерно 7кб с начала файла, дальше - нормальные данные. Есть несколько пар файлов "зашифрованные" и "оригинал". Можете помочь?

В конце файлов есть блок с чем-то похожим на ключ, и оригинальное имя файла.

sergh1970
13.05.2015, 12:30
В версии CL 0.0.1.0 используются два метода шифрования.
Генерируется ключ размером 0х800 и строка с методом шифрования размером 20.
Раньше метод шифрования был зашит в тело вируса.
Для каждого файла из ключа берется случайная выборка размером 0х200.
От этой выборки берется хеш MD5 несколько раз после некоторых преобразований.
Получается ключ из хешей размером 0х7560.
Этим ключем шифруется начало файла длинной 0х7530, используя сгенерированный метод шифрования.
Кроме того вирус генерирует 768-битный RSA ключ.
Этим RSA ключем шифруются три случайных блока длинной 0х400 из файла.
Оба ключа и метод шифрования вирус отправляет на сервер.
Для расшифровки нужно подобрать метод шифрования и два ключа.
По моему мнению это нереально.

Andrey Kosyanchuk
19.05.2015, 15:04
sergh1970, огромное спасибо! Часть уже расшифровал. Думал, что безнадега, сюда уже в отчаянии набрел...

Tamzan
22.05.2015, 12:21
Здраствуйте 2 дня назад поймал вирус зашифровал все мои данные в архив и оставил письмо бла.бла.бала писать на этот адрес 123123dadada@rambler.ru . Я им написал в ответ получил все вы правильно поняли для того чтобы разархевировать ваши данные оплатите 100$ через обменник и номер кошелька прислали пройдет 2 дня денег не будет цена востановления будет 200$. Ребята кто с этим сталкнулся и знает как выйти из этой ситуации прошу откликнутся на сообщение . Заранее благодарен

sergh1970
22.05.2015, 12:48
Tamzan, Вы немного темой ошиблись. Вам наверно сюда http://virusinfo.info/showthread.php?t=160942

stranger61
29.05.2015, 10:26
Здравствуйте!

Аналогичная ситуация - сотрудница поймала вирус, шифровальщик зашифровал файлы. По времени шифровки нашел 2 файла в корне "Program files" может поможет в расшифровке? Буду благодарен за ответ - возможно расшифровать или нет.

Заранее спасибо!

В архиве 2 этих файла и пример зашифрованного документа. Пароль к архиву - 12345 [скрыто]

sergh1970
29.05.2015, 10:48
У Вас новая версия шифровальщика CL-0.0.1.0
Подобрать для нее ключи нереально.

stranger61
29.05.2015, 10:53
Все ясно, спасибо!

Один раз клиент приобрел от бублика дешифратор. Если сейчас приобретет - сообщу!
Кстати - если сейчас все еще идет процесс шифровки - это поможет?

sergh1970
29.05.2015, 11:40
От дешифратора никакого толку не будет, при каждом запуске вирус генерирует новые ключи.

museum
31.05.2015, 15:13
Можете ли вы помочь расшифровать файлы? у нас все рабочие документы полетели..
email-iizomer_aol_com_ver-CL_0_0_1_0_id-LCKTBIO
это наше "счастье"
https://yadi.sk/d/6XIs-snggxXEM

нашли на разных компьютерах файлы - оригинал и зашифрованная версия, но сами не справимся..
Очень нужна Ваша помощь!

sergh1970
31.05.2015, 15:33
museum, с этой версией вируса ничем помочь не могу.
Выше я уже об этом писал.

GelOKS
02.06.2015, 14:10
Здравствуйте! Надеюсь еще занимаетесь расшифровкой файлов? Недавно обнаружил заражение этим вирусом email-watnik91@aol.com-ver-6.1.0.0.b.cbf , заразил весьма много файлов. Отправил ссылку на архив в личку. Как говорится - вы моя последняя надежда! Заранее спасибо!

qqq_000
02.06.2015, 17:02
Здравствуйте! Надеюсь еще занимаетесь расшифровкой файлов? Недавно обнаружил заражение этим вирусом email-watnik91@aol.com-ver-6.1.0.0.b.cbf , заразил весьма много файлов. Отправил ссылку на архив в личку. Как говорится - вы моя последняя надежда! Заранее спасибо!

с этой версией вируса ничем помочь не могу.
Выше я уже об этом писал.

Сам жду, но видимо результата не будет, увы. (((((

sergh1970
02.06.2015, 17:25
qqq_000, не путайте людей. У GelOKS 6 версия вируса. К ней ключ можно восстановить.
А у Вас версия CL-0.0.1.0. К ней подобрать два ключа, один из которых RSA действительно увы.
Для RSA даже по открытому ключу восстановить закрытый - задача очень сложная.
А подобрать неизвестный RSA ключ наверно нереально.

GelOKS
02.06.2015, 18:36
sergh1970 спасибо за помощь! Все сработало как надо!

qqq_000
02.06.2015, 19:00
qqq_000, не путайте людей. У GelOKS 6 версия вируса.

Молчу-молчу.:blush:

fatalist
05.06.2015, 21:22
У меня в консервной банке жесткий под mserbinov aol.com ver 6.1 лежит. Что нужно для дешифровки? И можно ли без дешифровки винду переустанавливать, или software ID лучше не менять?

Игорь Грязнов
06.06.2015, 23:45
Здрасти. Сможете помочь? Ransom.Win32.Cryakl.fi поймал...

sergh1970
07.06.2015, 01:32
Если у Вас версия CL-0.0.1.0, то ничем помочь не смогу.

sadel
09.06.2015, 09:15
У Вас новая версия шифровальщика CL-0.0.1.0
Подобрать для нее ключи нереально.
Сможете помочь нам? Зашифрованные файлы и тело вируса по ссылке.
https://cloud.mail.ru/public/8Q66/d3uRC5mHw
пароль на архив "35256"

sergh1970
09.06.2015, 10:31
sadel, с версией CL-0.0.1.0 ничем помочь не могу.

S4nder
09.06.2015, 16:35
Добрый день!
Помогите, пожалуйста, если это конечно же возможно с расшифровкой файлов.
Пример имени зашифрованного файла:
hpygpxfmvdk.tbj.id-{VCINWCHNSYEJPUAFLQVBHMRXDINTZEJPVAFL-06.04.2015 9@49@396193097}-email-watnil91@aol.com-ver-6.1.0.0.b.cbf
Также прилагаю ссылку на тело вируса, оригинал файла и его зашифрованный вариант: https://cloud.mail.ru/public/K1vh/uunVCRv6e
Пароль: virus
Если понадобится больше файлов дайте знать.
Вы моя последняя надежда!!!

Костя Щетинин
10.06.2015, 10:28
Здравствуйте такая же ситуация что и с постом выше, какие есть еще варианты расшифровать? , документы очень важны для человека

- - - - -Добавлено - - - - -

т.е. с этой версией CL-0.0.1.0

mike 1
10.06.2015, 10:34
Костя Щетинин создайте тему в разделе Помогите.

sergh1970
10.06.2015, 10:36
С версией CL-0.0.1.0 к сожалению ничем помочь не могу.

w84
11.06.2015, 09:56
Доброго времени суток
файлы зашифрованы, басы данных 1с, файлы .xls .doc переименованы примерно такого вида:
lhbopipjqd.lek.id-{BBYKQIGQOZDISQOFWAWPMXBMDNYJGRCMKVFW-13.01.2015 11@24@12557367}-email-unlocker77@mail.ru-ver-6.1.0.0.b
такое сможете расшифровать?

sergh1970
11.06.2015, 10:32
w84, архив скачал. Можете удалять.

w84
17.06.2015, 10:35
Все грамотно сделал! Спасибо за помощь!

aleksij2008
02.07.2015, 22:57
Доброго времени суток!
файл DOCX, после заражения компьютера к имени добавилось .id-5072545850_blockchain@inbox.com
Выскакивал баннер с фото Сноудена и надписью на украинском, что он украл ваши данные и за 200 долларов информация будет возвращена.

Сможете расшифровать такое?

sergh1970
02.07.2015, 23:30
По этому файлу сложно судить.
Что то новое, я с таким не сталкивался.
Нужно изучать шифратор, определить метод шифрования.
Только после этого можно будет сказать, можно это расшифровать или нет.

thyrex
02.07.2015, 23:41
Это Trojan-Ransom.Win32.Aura по классификации ЛК

sergh1970
02.07.2015, 23:57
Тогда без ключа с расшифровкой ничего не получится.

aleksij2008
03.07.2015, 00:00
Это Trojan-Ransom.Win32.Aura по классификации ЛК

Как с этим бороться?
Заражено два компьютера администрации под XP, копий файлов нет...

thyrex
03.07.2015, 00:14
Как с этим бороться?С расшифровкой помогут только сами злодеи

Elsant
06.07.2015, 10:38
Добрый день,

Комп инфицировался вирусом, который зашифровал файлы. Установил Dr.Web(лицензионный). С расшифровкой обратился в поддрежку DrWeb. Получил ответ, что вирус, зашифровавший файлы Trojan.encoder.567, поддержка расшифровать не смогла.
Судя по названию файла, версия как раз CL-0.0.0.1. Но надежда умирает последней. Не могли бы Вы посмотреть файлы и сказать, можно ли их расшифровать.

Файлы тут (https://yadi.sk/d/L4hkM85EhguXL).

mike 1
06.07.2015, 10:49
Elsant создайте свою тему в разделе Помогите.

sergh1970
06.07.2015, 10:51
Elsant, у Вас версия CL-0.0.1.0
С расшифровкой файлов после этой версии вируса я ничем помочь не могу.