Расшифровка файлов с расширением [email protected]_lot XXXX (различные варианты)

[B]Nikato[/B] значит попали на модифицированную версию шифратора.

[QUOTE=mike 1;1117037][B]Nikato[/B] значит попали на модифицированную версию шифратора.[/QUOTE]

Спасибо за то,что пытаетесь помочь! Возможна ли когда-нибудь расшифровка?

[QUOTE=Nikato;1117042]Спасибо за то,что пытаетесь помочь! Возможна ли когда-нибудь расшифровка?[/QUOTE]
Если кто-то поделится, то будет возможна. Однако ключи в этой теме больше публиковаться не будут.

[QUOTE=mike 1;1117044]Если кто-то поделится, то будет возможна. Однако ключи в этой теме больше публиковаться не будут.[/QUOTE]

Делюсь. Пострадали 2 компьютера в офисе. Стоял NOD32 5 версии.
Пришло письмо (можно открыть в MS Word, только ссылку ДОКУМЕНТЫ не нажимайте - по ней похоже и происходит заражение - скачивается архив с трояном-шифровальщиком и запускается. В итоге получаются такие вот файлы: [URL="http://vosk.me/virus/files.zip"]оригиналы+зашифрованные[/URL] ([email protected])

письмо выглядит примерно так:

[ATTACH=CONFIG]475810[/ATTACH]

и ссылка "ДОКУМЕНТЫ" на вирус: [удалено]





Вот что в журнале NOD32:

[HTML] <RECORD>
<COLUMN NAME="Время">
<DATE>26.05.2014</DATE>
<TIME>4:17:23</TIME>
</COLUMN>
<COLUMN NAME="Модуль сканирования">Модуль сканирования файлов, исполняемых при запуске системы</COLUMN>
<COLUMN NAME="Oбъeкт">файл</COLUMN>
<COLUMN NAME="Имя">Оперативная память = Судебный приказ - судебное постановление, вынесенное судьей единолично на основании заявления о взыскании денежных сумм или.exe(3132)</COLUMN>
<COLUMN NAME="Bиpуc">модифицированный Win32/Filecoder.NAM троянская программа</COLUMN>
<COLUMN NAME="Дeйcтвиe">очищен удалением</COLUMN>
<COLUMN NAME="Пoльзoвaтeль"></COLUMN>
<COLUMN NAME="Информация"></COLUMN>
</RECORD>
...
<RECORD>
<COLUMN NAME="Время">
<DATE>23.05.2014</DATE>
<TIME>10:05:26</TIME>
</COLUMN>
<COLUMN NAME="Модуль сканирования">Защита в режиме реального времени</COLUMN>
<COLUMN NAME="Oбъeкт">файл</COLUMN>
<COLUMN NAME="Имя">C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\M2BJYT78\temp[1]\obrazetcs-postanovleniya.jpg</COLUMN>
<COLUMN NAME="Bиpуc">Win32/Filecoder.AL.Gen троянская программа</COLUMN>
<COLUMN NAME="Дeйcтвиe">очищен удалением - изолирован</COLUMN>
<COLUMN NAME="Пoльзoвaтeль">GLAVBUH\Glavbuh</COLUMN>
<COLUMN NAME="Информация">Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\WinRAR\WinRAR.exe.</COLUMN>
</RECORD>

[/HTML]

[COLOR=#FF0000][/COLOR][QUOTE=mike 1;1117044]Если кто-то поделится, то будет возможна. Однако ключи в этой теме больше публиковаться не будут.[/QUOTE]

[COLOR="#2F4F4F"][COLOR="#006400"]архив с зашифрованными файлами и оригиналами[/COLOR][/COLOR]: [URL]http://vosk.me/virus/files.zip[/URL]

Зашифрованные файлы имеют вид: "[email protected]"

[COLOR=#FF0000]Заражение происходит через ссылку[/COLOR]: [удалено]


[COLOR="#B22222"]Жертве приходит письмо с темой:[/COLOR][COLOR="#FF0000"] Cудебный пристав[/COLOR]

внутри письма картинка и вышеуказанная ссылка в виде слова "[COLOR="#0000FF"]ДОКУМЕНТЫ[/COLOR]" - расположенная под картинкой

[ATTACH=CONFIG]475815[/ATTACH]

На компьютере где произошёл инцидент стоит антивирус NOD32 5. В журнале антивируса есть такие строчки:

[HTML]<COLUMN NAME="Имя">Оперативная память = Судебный приказ - судебное постановление, вынесенное судьей единолично на основании заявления о взыскании денежных сумм или.exe(3132)</COLUMN>

<COLUMN NAME="Bиpуc">модифицированный Win32/Filecoder.NAM троянская программа</COLUMN>

<COLUMN NAME="Дeйcтвиe">очищен удалением</COLUMN>



COLUMN NAME="Имя">C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\M2BJYT78\temp[1]\obrazetcs-postanovleniya.jpg</COLUMN>

<COLUMN NAME="Bиpуc">Win32/Filecoder.AL.Gen троянская программа</COLUMN>

<COLUMN NAME="Дeйcтвиe">очищен удалением - изолирован</COLUMN>[/HTML]


В общем почистить заразу - антивирус почистил, но шифровальщик всё же успел зашифровать все документы, фотографии и DBF-файлы на компьютере и сетевом диске сервера. Очень надеюсь что появится решение и получится расшифровать.

Если письмо сохранилось, сохраните его в eml формате, затем упакуйте его в zip архив и прикрепите в следующем вашем посте

письмо: [url]http://vosk.me/virus/message.zip[/url]

[QUOTE=mike 1;1117044]Если кто-то поделится, то будет возможна. Однако ключи в этой теме больше публиковаться не будут.[/QUOTE]
Здравствуйте. А как возможно будет узнать о появлении нужного дешифратора?

[QUOTE=smart1k;1124185]Здравствуйте. А как возможно будет узнать о появлении нужного дешифратора?[/QUOTE]
Можете спросить в этой теме.

Команда ESET прислала [URL="http://vosk.me/virus/decoder.rar"]дешифратор[/URL] (пароль: clean), но возможно он подходит только к моему варианту ключа шифрования. Попробуйте сначала на одном файле. Рекомендовали распаковать в корень диска. Путь и имя файла нужно указывать полностью с учётом регистра. Либо указать диски как написано в help.txt, что бы расшифровать все файлы. Ключ запуска утилиты /b видимо обязателен. Копии зашифрованных файлов остаются, если нормально расшифрует - их можно потом удалить.

Вымогатель потребовал кстати 1 биткоин за утилиту расшифровки.

Подскажите, для версии lot5011 есть дешифратор?

[QUOTE=smart1k;1125120]Подскажите, для версии lot5011 есть дешифратор?[/QUOTE]
Нету

[QUOTE=mike 1;1110494][B]Alexander Lirmak[/B] для вашей версии нашел способ как расшифровать файлы инструкцию получите в конце лечения в разделе Помогите. Ключи которые могут помочь без номера для версии Casino здесь публиковаться мной не будут т.к. есть большой риск убить окончательно файлы.[/QUOTE]

Добрый День ! У меня похожий случай как у Alexander Lirmak, помогите пожалуйста расшифровать файлы.

[QUOTE=timon1007;1125883]Добрый День ! У меня похожий случай как у Alexander Lirmak, помогите пожалуйста расшифровать файлы.[/QUOTE]
Создайте свою тему в разделе Помогите.

Подскажите, если ли дешифратор для файлов типа casinomtgox.com_lot2004?

[QUOTE=Afono4ka;1133914]Подскажите, если ли дешифратор для файлов типа casinomtgox.com_lot2004?[/QUOTE]
Не встречалось.

Подскажите, если ли дешифратор для файлов типа casinomtgox.com_lot5029

Нет

Доброго времени суток!
Не появилось ли дешифратора для этого вируса?
[url]http://virusinfo.info/showthread.php?t=161575[/url]

Нет, не появилось

На casinomtgox.com_lot5011 ничего не появилось?

[QUOTE=Dosmant;1142514]На casinomtgox.com_lot5011 ничего не появилось?[/QUOTE]
Полноценной расшифровки нет.

Расшифровать [B][email protected]_lot4000[/B] [URL="http://media.kaspersky.com/utilities/VirusUtilities/RU/rectordecryptor.zip"]помогла вот эта программка[/URL]. Можно попробовать и на других лотах. Надеюсь, кому-нибудь пригодиться. Всем удачи! :thumbs:

Большое спасибо!!! [email][email protected][/email]_lot2001, все получилось!!!

Здравствуйте! Подскажите пожалуйста есть ли дешифратор для [email][email protected][/email]_lot4002?
Шифровка произошла где-то 04.2014 но до сих пор нету упоминаний в темах на форуме и вообще в сети, это что-то из новенького?:)

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

P.S. Не одна утилита предложенная в теме не помогла....

[B]jexxxxx[/B] а сам шифратор сохранился?

Не совсем понял вопроса... файл трояна? если так - тогда нет. После заражения я переустановил систему, остались только зашифрованные данные jpg, xhls, word, pdf и т.д. т.д.
Что интересно незадолго до заражения я купил лицензионный Каспер, а после заражение его на компе не оказалось, как будто вирус его снес...)

[QUOTE]После заражения я переустановил систему[/QUOTE]
Печально. Само письмо сохранилось или со страха удалили?

Добрый вечер! Вижу у многих в апреле отработал вирус шифровальщик будь они не ладны... Не появился ли код для [email][email protected][/email]_lot5005 ???

Нет

[email][email protected][/email]_lot5011 не появился код.Спасибо

Нет.

Приветствую, уважаемые специалисты. Помогите пожалуйста советом.
Где-то в апреле подхватил трояна, который зашифровал все фотки и приставил к названиям "[email protected]_lot2003"
Вероятно, этот lot2003 - под звёздочкой, т.е. утилита te102decrypt.exe с параметром -k 192 не помогает. Так же не помог и RectorDecryptor последней на сегодня версии.
Вопрос - есть ли на сегодняшний день рабочий дешифратор? На руках имею рабочую ОС с сидящим в ней трояном, но письмо с электронки с трояном утеряно. Есть ли смысл собирать логи/карантины авз-ом, HijackThis-ом и создавать тему в разделе "помогите" ?
Заранее благодарю за уделённое время.

Уважаемые, появился ли дешифратор для [email][email protected][/email]_lot3024?

[QUOTE=33lab;1236584]Уважаемые, появился ли дешифратор для [email][email protected][/email]_lot3024?[/QUOTE]
Нет.

Файлы зашифрованные lot-5030 розшифровал с помощью te102decrypt.Сделал все как указанно в инструкции.Программа сделала розшифрованние копии зашифрованных фото.Только фото не открываются.Пишет(средство просмотра фотографий windows не может открыть это изображение поскольку формат данного файла не поддерживается или отсутствуют последние обновленния средства просмотра изображений).Подскажите, пожалуйста, что делать?!Может te102decrypt попросту штампует файлы пустышки?

[QUOTE](*) - Встречались такие же версии, где автор шифратора изменил ключ шифрования в доработанных версиях шифратора. В этом случае предложенные ключи запуска утилиты DrWeb вам могут не помочь.[/QUOTE]
[COLOR="#FFFFFF"]...[/COLOR]

lot5007, появился дешифратор?

[QUOTE=Сергей Шереметов;1244136]lot5007, появился дешифратор?[/QUOTE]
Нет.

[B]Sergey1810[/B] ваше сообщение удалено, т.к. к этой теме оно никак не относится. Создайте тему в разделе Помогите.

а для такого [email][email protected][/email]_lot3016 есть код расшифровки?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

lot3016, появился дешифратор?