шифрует фалы просит прислать tyr на [email protected]

[thyrex]

должны скоро выслать дешефратор. но там другое кодовое слово и думаю мне он не поможет

именно так. Но если что-то пришлют, можете поделиться (с указанием кодового слова)

[dantist72]

Никаких новостей так и нет?
Поглядел все файлы с датой последнего изменения в день заражения
начинаются одинаково.
На некоторых компах файлы вернули возвратом к предыдещей версии. Но это там где было включено теневое копирование тома.
вирус инсталирует прогу C:\Program Files (x86)\РоссИнфоТех\Информация об Арбитражном иске
там 2 файла и логи отчета(скрытые)
ну и все фалы которые завирусованы начинаются одинаково.
сами данные видно что не похожи и зашифрованы.
вот прога которые дал приступник по коду 20к
http://files.mail.ru/61737FC79D9244F387D4D7F85E6FB373

[thyrex]

Файлы в папках, которые начинаются с 20к, вроде и есть дешифраторы?

[dantist72]

Да там в архиве есть программа gen это генератор ключа
генерируешь этой программой ключ высылаешь. Хакер делает программу для расшифровки.
для 20к программа начинается с 20к, для других кодовых слов программы начинают с этих слов.
чуть позже выложу программы для tyr.
Хочю сразу добавить что даже имея программу делайте копии и пробуйте расшифровать в отдельной папке. Иначе вообще рискуете потерять все. Мало того при расшифровке делаются копии файлов с расширение bak, но програв другой программой и получив файлы с *.bak и типа расшифрованные. Если расшифрованные не открываются. То не факт что и *.bak тоже расшифруется. Пробовал их копировать и убирать раширения. Все равно файлы уже не востанавливаются.
И еще раз делается копирование, то место на дисках очень быстро заканчивается. Поэтому лучше расшифровывать мелкими партиями в отдельных папках.

[thyrex]

Если расшифрованные не открываются. То не факт что и *.bak тоже расшифруется. Пробовал их копировать и убирать раширения. Все равно файлы уже не востанавливаются.

Это косяки в самом шифровальщике. Для Вашей модификации все файлы, у которых размер меньше 25 байт, расшифровать корректно не получится

[dantist72]

а как вообще определили что это именно RSA. меня наталкивает на сомнения тот факт, что файлы которые были восстановлены не тем дешифратором. Должны были за шифроваться еще больше. Так вот попробовал востановить сам созданный новый файл. И удалил вообще *.bak. Файлы удалось восстановить. Сперва думал просто кривые руки у хакера и из за того что заканчивалось место на диске дешифратор завис и не успел зашифровать зашифрованные файлы. Но при повторном прогоне так сказать в ручную каждой папки, файлы восстановились. в том числе и файлы 1с8
Поэтому и думаю что как то странно если бы было шифрование по методу RSA должно было получиться на выходе вообще непонятно что.

[thyrex]

а как вообще определили что это именно RSA

Этот шифровальщик меняет не весь файл, а только пять цепочек по 25 байт. Информация, необходимая для дешифровки, дописывается в конец файла

Т.е. все восстановилось дешифратором для 20к?

[dantist72]

нет. сперва "расшифровалось" по ошибке дешифратором для 20к и стало еще больше зашифровано.
Потом проверил и был в ужасе что ничего так и не открылось. Написал заного, мол ничего не напутали? нужно дешифратор для tyr. Мне выслали новый уже для tyr чтобы хотябы востановить то что неуспело дешифроваться дешифратором для 20к. После того как расшифровал все оставшееся. Решил прогнать испорченные файлы дешифратором для tyr поглядеть что получится и о чудо и эти файлы тоже востановились.
Отсуда и сомнения что вообще было ли шифрование? потому как по логике файлы должны были быть утеряны на совсем безвозвратно. Вот я и справшиваю как определили что RSA? на угад? Может все на самом деле немного по другому? Второй момент. Зарожение произошло буквально за ночь. А расшифровывал сидел уже самими программами 3 дня. И еще диск на 350 гигов был изначально забит всякой гадостью и самих данных было не так уж и много гига так 4-5. И вот и получается что шифровалось гдето 150 гигов а расшифровывалось 5 гигов. Разница по времени шифрования дешифрования получается слишком уж разной.

[thyrex]

Вот я и справшиваю как определили что RSA? на угад?

Нет, конечно
Этот "бизнесмен" промышляет именно RSA-шифровальщиком

Зарожение произошло буквально за ночь. А расшифровывал сидел уже самими программами 3 дня.

Шифрует быстро, дешифрует медленно. Такова особенность работы дешифратора

- - - Добавлено - - -

Мне выслали новый уже для tyr

Пришлете?