Файлы зашифрованы (расширение .ARRESTED)

[thyrex]

И в чем его неработоспособность?

[zlodei1988]

Ваш метод не рабочий

Ну давайте пробовать, а ключи кто подскажет, может он одинаковый, кто ж его знает, давайте пробовать!!!

- - - Добавлено - - -

Вот, что присылает злоумышленник (ключ мне действительно подошел и что-то уже успел расшифровать):

Оплата пришла.
1) Отключаем антивирус.
2) Скачайте Decryptor по ссылке:
http://gfile.ru/a1fHx
Пароль на архив:
SlJB0sTA
3) Разархивируйте Decryptor в Мои документы пользователя с админ привелегиями.
4) Введите ключ:
<тут был мой ключ>
Внимание!
Востановить данные в случае ввода неверного ключа будет невозможно!
Обращаем внимание, ключ не может содержать пробелы.
Выделяем ключ - копируем - вставляем в окно дешифратора.
И на всякий случай, скопируйте самые важные зашифрованные файлы на съемный носитель, после чего извлеките его из зараженного пк перед началом дешифрации.
Для владельцев 1С, проверьте перед запуском стоит ли расширение .ARRESTED в файлах баз данных.
Если стоит - хорошо, если нет, то
а) Попробуйте открыть базу в текстовом редакторе, и если там будут понятные символы то она не зашифрована.
б) если она не откроется(либо откроются иероглифы), то поставьте расширение .ARRESTED вручную, скопируйте заблаговременно зашифрованную базу на съемный носитель, и извлеките его из зараженного пк!
в) Иногда после дешифровки 1С выдает ошибку: "Ошибка формата потока", в таком случае удаляем папки 1Cv8FTxt и 1Сv8Log, в них живут файлы *.log; *.lgp и *.lgf. Тогда пропадет весь журнал, но зато все заработает.
Иных вопросов у вас возникнуть не может, если вы не изменяли зашифрованные файлы.
5) Нажимаем кнопку расшифровать всё (либо сначала выбираем зашифрованный файл, затем нажимаем кнопку расшифровать файл, обращаем внимание, пароль должен быть вставлен в окно дешифратора).
Начнется расшифровка.
Среднее время расшифровки 2 часа.
По окончанию дешифровки, дешифратор выдаст сообщение: Готово!

Друг мой!!! Поделись ключиком который у тебя показался, авось сработает, прям очень надо! Ну и пиво с меня)

[thyrex]

Друг мой!!! Поделись ключиком который у тебя показался, авось сработает

Сомнительно

[zlodei1988]

надо бы посмотреть, какой ключ у него в текст. доке и какой пришел

[thyrex]

Судя по всему даже текстовый файл с сообщением записывается на зашифрованную машину вручную

- - - Добавлено - - -

http://virusinfo.info/showthread.php?t=141324 выложены даже две пары кодов

[zlodei1988]

вот вот, две пары кодов, как с этим можно работать? и какой толк можно из этого вывести?

[thyrex]

и какой толк можно из этого вывести?

Вполне возможно, что никакого, если каждая такая пара хранится в отдельном файле-базе у злоумышленника

[zlodei1988]

А если получится так, что зло запускает шифровальщика, он делает свое дело, на выходе зло имеет откр и закрытый ключ. Столько компьютеров заражено, зло просто физически не сможет собрать все коды и сохранять себе в базу, и письма от зла приходят автоматически, не сравнивая код в текстовом доке! Ну хоть какую то пользу можно же выручить имея пару ключей???
вот еще возможно ценная информация! http://forum.kaspersky.com/index.php...c=260680&st=40

[thyrex]

на выходе зло имеет откр и закрытый ключ

Если бы это было так, то утилиту для дешифровки или подбора ключа давно написали бы.

[zlodei1988]

вот еще пишут что - для нечетных блоков, т.е. для 1,3,5,7... блоков по 16Кб и т.д. как раз нужен ключ (который присылают) - в этом еще надо покопаться
- для четных блоков ни какой ключ не нужен вообще. дешифратор элементарно отнимает от закодированного значения цифру 0x40

например:
- код символа "пробел" равен 0x20
- код символа "ноль" равен 0x30

так вот. в зашифрованном файле они выглядят как 0x60 и 0x70 соответственно.

итого еще раз (дабы не сбиться с мысли):
т.е. БЕЗ РАЗНИЦЫ какой код вводить, для ЧЕТНЫХ блоков дешифратор просто минусует от каждого байта значение 40 (попробуйте сами. просто введите код 123456 и увидете тот же результат как "считалось" ранее что нужен код из текстового файла Расшифровка.txt) - он скорее всего нужен для других целей

[T0PT]

Ключь
JK8QfWeHVERWF4BwGxXRr7aiWikIQFMM

После запуска с этим ключем файлы остаются повреждены

[uhriab]

Ключь
JK8QfWeHVERWF4BwGxXRr7aiWikIQFMM

После запуска с этим ключем файлы остаются повреждены

А вы где этот ключ взяли?

- - - Добавлено - - -

Ваш метод не рабочий

Какой метод? Если знать ключ, то этот "метод" работает. Собственно это письмо не за моим авторством.

[T0PT]

взял в текстовом файлике ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT

[Николай Акатов]

вот еще пишут что - для нечетных блоков, т.е. для 1,3,5,7... блоков по 16Кб и т.д. как раз нужен ключ (который присылают) - в этом еще надо покопаться - для четных блоков ни какой ключ не нужен вообще. дешифратор элементарно отнимает от закодированного значения цифру 0x40 например: - код символа "пробел" равен 0x20 - код символа "ноль" равен 0x30 так вот. в зашифрованном файле они выглядят как 0x60 и 0x70 соответственно. итого еще раз (дабы не сбиться с мысли): т.е. БЕЗ РАЗНИЦЫ какой код вводить, для ЧЕТНЫХ блоков дешифратор просто минусует от каждого байта значение 40 (попробуйте сами. просто введите код 123456 и увидете тот же результат как "считалось" ранее что нужен код из текстового файла Расшифровка.txt) - он скорее всего нужен для других целей

к данной заразе эта информация не относится.
данные кодируются блоками по 8 байт, блок меньше восьми байт - не кодируется.
пример: (1 - оригинал, 2 - зашифрованный)
1 22 50 72 6f 66 69 6c 65 - 4c 69 73 74 22 2c 0a 7b
2 31 25 3a 30 9d 71 a0 32 - f3 63 b3 a8 2e 2a 3a 34
1 22 50 72 6f 66 69 6c 65 - 4c 69 73 74 22 2c 22 7b
2 31 25 3a 30 9d 71 a0 32 - 91 f3 78 66 f4 80 f9 c7
1 7d 22 7d 7d 7d
2 7d 22 7d 7d 7d

[uhriab]

взял в текстовом файлике ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT

Для расшифровки нужен другой. Очевидно, в этом весь смысл мошенничества. Если бы ключ был и так у вас, то уже давно было бы универсальное лекарство.

[zlodei1988]

Ну так что с этим делать???куда еще можно обратиться, ведь очень много пострадавших компьютеров, где искаь ответы, я лучше денюжку за ум дам человеку который раскроет все, а не запакостит(

- - - Добавлено - - -

Вот еще инфа
тоже проверили - действительно с паролем из письма расшифровывается часть файла,
причем блоками - сначала шифрованый кусок - потом кусок расшифрован - потом снова шифрован и т.д... блоки длинной 0x4000h
сдается мне алгоритм такой
генериться пароль с которым шифруются файлы
у этого пароля делается известная ошибка в 1 знаке
этот пароль шифруется другим алгоритмом и записывается в письме

получив это пароль с косяком - расшифровывают его, устраняют внесенное изменение символа,
снова шифруют все темже алгоритмом и высылают нам...

алгоритм расшифровки пароля есть в декрипторе, пароль расшифровывается
файлы дешифруются...

собственно надо ковырнуть декриптор на предмет расшифровки самого пароля...
тогда универсальный декрипто не загорами

- - - Добавлено - - -

действительно с паролем из письма расшифровывается часть файла,
причем блоками - сначала шифрованый кусок - потом кусок расшифрован - потом снова шифрован и т.д... блоки длинной 0x4000h
сдается мне алгоритм такой
генериться пароль с которым шифруются файлы
у этого пароля делается известная ошибка в 1 знаке
этот пароль шифруется другим алгоритмом и записывается в письме

получив это пароль с косяком - расшифровывают его, устраняют внесенное изменение символа,
снова шифруют все темже алгоритмом и высылают нам...

алгоритм расшифровки пароля есть в декрипторе, пароль расшифровывается
файлы дешифруются...

собственно надо ковырнуть декриптор на предмет расшифровки самого пароля...
тогда универсальный декрипто не загорами

[thyrex]

zlodei1988, прекратите писать ерунду на всех форумах подряд

[zlodei1988]

Хорошо! я просто нервничаю очень!)

- - - Добавлено - - -

Простите уж за назойливость, а с этим шифровальщиком типа ARRESTED занимается кто-нибудь, и можно ли надеяться на результат? Спасибо! Извините еще раз!

[Zyxel]

Господин thyrex, убедительная просьба отредактировать первое сообщение в ветке. НЕ НУЖНО платить вымогателям, так как ничего вам никто не вышлет. Мы попробовали, заплатили, только деньги потеряли. Складывается впечатление, что посты о том, что кто-то там заплатил и ему выслали код для дешифровки пишут сами авторы вируса. Как бы ни было тяжело, восстанавливайте все вручную, вариантов больше нет, ну и на будущее усилить безопасность.

[thyrex]

Мы попробовали, заплатили, только деньги потеряли

А до оплаты с Вами на связь злоумышленники выходили?