Нужна помощь, сегодня в очередной раз появился вымогатель
.RN файл выложил http://rusfolder.com/35763526
[email protected] 43895
Коды в шапке не подходят.
Я 1.5 года назад обращался за помощью и после этого написАл материал на своём сайте,
http://master-it.org/articles/99/
надеюсь который тоже помог тем, кто пал жертвой вымогателей.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Добрый вечер. Может кто помочь вот с таким?
Доброго времени суток!
Доносим до Вас не самую приятную новость, ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самых криптостойких алгоритмов.
Все зашифрованые файлы имеют формат .BLOCKING
Восстановить файлы можно только при помощи дешифратора и пароля, который, в свою очередь, знаем только мы.
Подобрать его невозможно. Переустановка ОС ничего не изменит.
Ни один системный администратор в мире не решит эту проблему не зная пароля.
Ни в коем случае не изменяйте файлы! А если решились, то сделайте резервные копии.
Напишите нам письмо на адрес [email protected] (если в течение суток вам не ответят то на [email protected]) для получения дальнейших инструкций.
Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.
Среднее время ответа специалиста 1-12 часов.
К письму прикрепите файл "РАСШИФРОВКА.TXT".
Письма с угрозами ни к чему хорошему вас не приведут.
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
><><><><><><><><><><><><><><><><><><><><
JrPrUFWQVEQmDhEImtxl76OsX5cKYb4i
><><><><><><><><><><><><><><><><><><><><
И где взять дешифратор???
sat1984
Это GpCode
Без покупки оригинального дешифратора у злоумышленников не обойтись
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
А как он мог прорваться? RDP? как долго он шифрует данные? месяц сервер работал с мелкими косяками...Сообщение от thyrex
Добрый день.
Вот и я столкнулся с такой проблемой, какой-то умник залез и запустил в систему данную программу. Но все таки я нашел способ как восстановить все файлы, не платя какому-то долбодятлу. И так приступим.
1. АНАЛИЗ
Первое с чего я начал, это анализ программы lockdir. Распространяется она бесплатно, за версию с шифрованием blowfish нужно платить. На текущий момент версия 6.2, у меня же была 5.6. Как нистранно, программа ничего не хранит в реестре, все настройки хранятся в скрытой папке в файле System.db. Скрытая папка кстати легко открывается в Far manager. System.db легко правится с помощью любого hex редактора.
В каталоге где лежит system.db есть еще каталог LastF, в нем то и находятся ваши файлы.
Так вот, скачал я этот lockdir, спрятал с помощью него пустую папку, вытащил system.db и открыл в редакторе, так же открыл в редакторе и system.db с зараженного компьютера. И вот какие интересности нашел:
Первое это путь к папке которая скрыта. Второе это захешеный пароль (в данном случае пароль 12345).
1.png
2. ЛЕЧЕНИЕ
Многие наверное уже придумали поменять данные значения и передать с помощью far manager файл в скрытую папку. Скажу сразу, если у вас файлы не зашифрованы (т.е. в папке LastF нету файлов с длинными именами и расширением типа RN), то вы отделались малой кровью, вам нужно только:
- скопировать файл system.db
- открыть в hex редакторе
- заменить значения по адресу 000000fb - 000011b на эти:
20 37 33 44 44 45 46 33 36 30 32 35 38 41 43 44 46 37 44 30 33 46 46 34 31 44 31 37 46 34 43 41 36
У вас должно выглядеть как на картинке сверху.
- копируем измененный файл обратно в каталог откуда взяли
- запускаем lockdir.exe и вводим пароль: 12345
- ждем и наслаждаемся
Однако у меня файлы были зашифрованы, причем зашифрованы с помощью blowfish. Пароли которые были здесь приведены не подошли. И мне ничего не осталось как копать глубже...
Все файлы с расширением RN являются зашифрованными и открытие их в hex редакторе мало что покажет... единственное что нашел, это хешированный пароль в каджом зашифрованном файле. Понять бы какой алгоритм хеширования пароля...
Последний раз редактировалось klimon; 03.04.2013 в 01:05.
запрос 27654 на адрес [email protected]
версия lockdir.exe 5.7.4.153
ключи из шапки не подходят,к сожалению.
на запрос вымогатель не отвечает.
получу ключ,если оплатим - поделюсь
Номер 769586 , aleksey_964[@]yahoo.com
lockdir 5.6.0.95
ключ: FH3mfSN3e8fESkejgSneujvSEkfjj
цена вопроса оказалась 3900,00 р
после оплаты ключ пришел в течении получаса
добавьте в шапку ключик
hgytuti7465768Е%;%:?:*(ПААСВАП%;%%::??:Рпрагнрооhj h
при выводе этого сообщения появляется пробел перед последней буквой почему то - он НЕ НУЖЕН!
Добавили, без пробела.
Добавте в шапку.
75096jgutngh$#@+)*&^$#FRYGUIKhtfghjiy54567ggffthyt w
489573zerbjqwvkitkflodmgdthrikglomvjftruldo
вот как то так.
- - - Добавлено - - -
первый код без пробела.
- - - Добавлено - - -
Зачем так сложно. Ставим 7Zip v9.20 и он легко все что не зашифровано видит и копирует куда хочешь из скрытой папки.
код из этой темы.Код:65893402536jftrghrY%$%^&*&()_%@!#$^Hgvedyjhfkjghgnl
Все добавил, всем спасибо!
вот еще код.
FQn3nf37FWNfgGWJMvmesNSEnf*$5
Вот еще один номер в системе 628152 JVEMm38fmnS*38f3#&nmfSMEVMr&e
4500р
Ключ подошел, но расшифровались не все файлы.
Если у кого попадался помогите
запрос 27596 на адрес [email protected]
версия lockdir.exe 5.7.4.153
ключи из шапки не подходят,к сожалению.
помогите пожалуйста
запрос 984761 [email protected] ключи из шапки не подошли )))))))
+1
TIWm486$*$#NgvevdSRE457843gSJGg
запрос 27596 на адрес [email protected]
gfjtui567649850%#$%$^&*)()YGDVHАВЫАПЕН;%:ffhjk
но вряд ли он подойдет кому то еще , думаю что на каждый номер в системе свой пароль
Ну вот и мы попали... Спасайте....
[email protected]
номер в системе 284098
Мои соболезнования , но вряд ли тебе кто то поможет ((( если инфа ценная то нужно заплатить ,хотя я понимаю что таким платить нельзя но выбора особого нет , и к стати как ты подмотал сие ?? на сервак или просто на комп , RDP был на серваке , если это на серваке ?
Ваши права в разделе
Ответить с цитированием
