Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 51.

Файлы зашифрованы (расширение .ARRESTED)

  1. #1
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,566
    Вес репутации
    3022

    Файлы зашифрованы (расширение .ARRESTED)

    С 29.06.2013 на форумах по информационной безопасности зарегистрирован всплеск обращений с очередным шифровальщиком, после работы которого файлы получают дополнительное расширение .ARRESTED

    При этом на компьютере создается текстовый файл следующего содержания:
    Здравствуйте!
    Ваш компьютер был атакован опаснейшим вирусом!
    Вся Ваша информация, включая базы данных, документы, бэкапы, и прочие файлы была зашифрована при помощи криптостойких алгоритмов.
    Все зашифрованные файлы имеют расширение .ARRESTED
    Восстановить файлы можно только при помощи дешифратора и пароля, который, в свою очередь, знаем только мы.
    Подобрать его невозможно. Переустановка ОС ничего не изменит.
    Ни один системный администратор в мире не решит эту проблему не зная пароля.
    Ни в коем случае не изменяйте файлы! А если решились, то сделайте резервные копии.
    Напишите нам письмо на адрес razshifrovkin@live.com (в случае если вам не ответили в течение 12 часов, то продублируйте письмо на почту razshifrovkin@tormail.org) для получения дальнейших инструкций.
    Мы расшифруем один абсолютно любой файл .ARRESTED для вас бесплатно (кроме баз данных, за которые, собственно, вы нам и платите)
    Для этого прикрепите его и файл "ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT"
    Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.
    Среднее время ответа специалиста 1-12 часов.
    К письму прикрепите файл "ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT".
    Письма с угрозами ни к чему хорошему вас не приведут.
    НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!

    <><><><><><><><><><><><><><><><><><><><><>
    69KpIIAIt42v9U2oLPTtKLyy7CbBUEoE (произвольный буквенно-цифровой набор)
    <><><><><><><><><><><><><><><><><><><><><>
    Это очередная разновидность шифровальщика Vandev (по классификации Лаборатории Касперского).
    Шифровальщик, как и в более ранних версиях, использует алгоритм шифрования Blowfish.
    Шифрование происходит следующим образом:
    1) на компьютер пользователя попадает бэкдор, который открывает удаленный доступ к компьютеру через RDP
    2) злоумышленник в удобное для него время заходит на компьютер, вручную запускает шифрование с произвольным ключом

    Вывод: расшифровать файлы, не зная ключ, НЕВОЗМОЖНО. Если информация очень ценная, остается только один вариант - платить злоумышленнику, как бы это не способствовало его "бизнесу"
    Как правило, подобные "бизнесмены" просят прислать зашифрованный файл, чтобы пользователь мог убедиться в наличии дешифратора, а после оплаты присылают и всю информацию для расшифровки (вместе с дешифратором)

    P.S. Специалисты из вирлабов рекомендуют обращаться сразу в полицию
    Последний раз редактировалось thyrex; 01.07.2013 в 22:40.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  2. Это понравилось:


  3. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  4. #2
    Junior Member Репутация
    Регистрация
    07.06.2013
    Сообщений
    13
    Вес репутации
    17
    Получается, что на всех зараженных компьютерах зашифровано с помощью одного и того же шифровальщика, соответственно и ключ один для каждой системы?

  5. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,566
    Вес репутации
    3022
    Файл-шифровальщик один и тот же.Ключ шифрования уникальный для каждой системы.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. Это понравилось:


  7. #4
    Junior Member Репутация
    Регистрация
    02.07.2013
    Сообщений
    8
    Вес репутации
    17
    Подскажите есть ли лекартсво от .ARRESTED
    тут ftp://ftp.drweb.com/pub/drweb/tools/
    Спасибо
    Последний раз редактировалось T0PT; 02.07.2013 в 12:21. Причина: Добавлено

  8. #5
    Junior Member Репутация
    Регистрация
    07.06.2013
    Сообщений
    13
    Вес репутации
    17
    Кому нибудь помогло скажите плиз! Без ключей запускать? и какой запускать?

    - - - Добавлено - - -

    Кому нибудь помогло скажите плиз! Без ключей запускать? и какой запускать?

  9. #6
    Junior Member Репутация
    Регистрация
    02.07.2013
    Сообщений
    8
    Вес репутации
    17
    пока без результатно

  10. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,566
    Вес репутации
    3022
    T0PT
    С форума DrWeb
    Здравствуйте!

    Да, нам знакомы подобные инциденты. На данный момент решения нет, т.е. расшифровка нашими силами к сожалению невозможна.
    В данном случае была произведена целенаправленная атака (с подбором пароля, через слабозакрытые средства удаленного администрирования, в первую очередь - RDP), и защитить от такой атаки, к сожалению, не в состоянии ни один антивирус (т.к. это обычный вход пользователя в систему, о вирусе не идет речь). Единственным надёжным средством защиты от потери информации при таких атаках является регулярное резервное копирование ценных данных на носители, недоступные для изменения штатными средствами Windows. Дополнительно это копирование защитит от потери информации в случае сбоев самой операционной системы и при выходе жёсткого диска компьютера из строя.
    Если к пострадавшему компьютеру есть доступ из Интернета по RDP, то либо закройте этот доступ, либо ужесточите правила доступа, потому что последние полгода-год злоумышленники очень часто стали использовать для атаки этот канал.

    Единственным способом воздействия является обращение в РО МВД с заявлением о совершении преступления, только тогда появится шанс поймать злоумышленника.


    С уважением,
    **********
    Cлужба технической поддержки компании "Доктор Веб".
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #8
    Junior Member Репутация
    Регистрация
    02.07.2013
    Сообщений
    5
    Вес репутации
    17
    Такая же ситуация зашифровались файлы БД 1С, ЭОН, некоторые картинки и еще какие-то файлы. Общение с лабораторией касперского результата не дала пришлось отправит письмо этим "товарищам" с вопросом сколько будет стоит освобождение от них... мда ужжжж

  12. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,566
    Вес репутации
    3022
    C0D3X, все предельно ясно написано в первом сообщении
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #10
    Junior Member Репутация
    Регистрация
    02.07.2013
    Сообщений
    5
    Вес репутации
    17
    Я все прекрасно из него понял, просто подписываюсь под тем, что тоже пострадал и что другого выхода кроме как платить найти не смогли. И это грустно...

  14. #11
    Junior Member Репутация
    Регистрация
    02.07.2013
    Сообщений
    5
    Вес репутации
    17
    Вот, что присылает злоумышленник (ключ мне действительно подошел и что-то уже успел расшифровать):

    Оплата пришла.
    1) Отключаем антивирус.
    2) Скачайте Decryptor по ссылке:
    http://gfile.ru/a1fHx
    Пароль на архив:
    SlJB0sTA
    3) Разархивируйте Decryptor в Мои документы пользователя с админ привелегиями.
    4) Введите ключ:
    <тут был мой ключ>
    Внимание!
    Востановить данные в случае ввода неверного ключа будет невозможно!
    Обращаем внимание, ключ не может содержать пробелы.
    Выделяем ключ - копируем - вставляем в окно дешифратора.
    И на всякий случай, скопируйте самые важные зашифрованные файлы на съемный носитель, после чего извлеките его из зараженного пк перед началом дешифрации.
    Для владельцев 1С, проверьте перед запуском стоит ли расширение .ARRESTED в файлах баз данных.
    Если стоит - хорошо, если нет, то
    а) Попробуйте открыть базу в текстовом редакторе, и если там будут понятные символы то она не зашифрована.
    б) если она не откроется(либо откроются иероглифы), то поставьте расширение .ARRESTED вручную, скопируйте заблаговременно зашифрованную базу на съемный носитель, и извлеките его из зараженного пк!
    в) Иногда после дешифровки 1С выдает ошибку: "Ошибка формата потока", в таком случае удаляем папки 1Cv8FTxt и 1Сv8Log, в них живут файлы *.log; *.lgp и *.lgf. Тогда пропадет весь журнал, но зато все заработает.
    Иных вопросов у вас возникнуть не может, если вы не изменяли зашифрованные файлы.
    5) Нажимаем кнопку расшифровать всё (либо сначала выбираем зашифрованный файл, затем нажимаем кнопку расшифровать файл, обращаем внимание, пароль должен быть вставлен в окно дешифратора).
    Начнется расшифровка.
    Среднее время расшифровки 2 часа.
    По окончанию дешифровки, дешифратор выдаст сообщение: Готово!

  15. #12
    Junior Member Репутация
    Регистрация
    02.07.2013
    Сообщений
    1
    Вес репутации
    17
    Цитата Сообщение от uhriab Посмотреть сообщение
    4) Введите ключ:
    <тут был мой ключ>
    Этот ключ совпадал с ключём из файла ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT ?

  16. #13
    Junior Member Репутация
    Регистрация
    02.07.2013
    Сообщений
    8
    Вес репутации
    17
    Файл
    Залит 25.06.2013.
    Угроза зафиксирвоана каспеским
    С 29.06.2013
    Вам не кажется что сдесь что-то не так ?

  17. #14
    Junior Member Репутация
    Регистрация
    02.07.2013
    Сообщений
    5
    Вес репутации
    17
    Цитата Сообщение от levlevlev Посмотреть сообщение
    Этот ключ совпадал с ключём из файла ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT ?
    Конечно нет.

    - - - Добавлено - - -

    Цитата Сообщение от T0PT Посмотреть сообщение
    Вам не кажется что сдесь что-то не так ?
    А что здесь не так?

    - - - Добавлено - - -

    Да, кстати. Письмо это пришло в ответ на вопрос "сколько?". Т.е никаких денег никто не платил.

  18. #15
    Junior Member Репутация
    Регистрация
    02.07.2013
    Сообщений
    5
    Вес репутации
    17
    Не понял, Вам пришло письмо с ключем просто так?! Т.е. вы отправили вопрос типа: "сколько надо денег?!" на указанное мыло, а в ответ вам просто пришло письмо с ключем?! О_о

  19. #16
    Junior Member Репутация
    Регистрация
    02.07.2013
    Сообщений
    8
    Вес репутации
    17
    Цитата Сообщение от C0D3X Посмотреть сообщение
    Не понял, Вам пришло письмо с ключем просто так?! Т.е. вы отправили вопрос типа: "сколько надо денег?!" на указанное мыло, а в ответ вам просто пришло письмо с ключем?! О_о

  20. #17
    Junior Member Репутация
    Регистрация
    02.07.2013
    Сообщений
    5
    Вес репутации
    17
    Цитата Сообщение от T0PT Посмотреть сообщение
    Цитата Сообщение от uhriab Посмотреть сообщение
    Т.е никаких денег никто не платил.

  21. #18
    Junior Member Репутация
    Регистрация
    02.07.2013
    Сообщений
    5
    Вес репутации
    17
    Цитата Сообщение от C0D3X Посмотреть сообщение
    Не понял, Вам пришло письмо с ключем просто так?! Т.е. вы отправили вопрос типа: "сколько надо денег?!" на указанное мыло, а в ответ вам просто пришло письмо с ключем?! О_о
    Да. Вложил файлик "что с этим делать?" и файлик для расшифровать. В ответ почему-то пришел ключ.

  22. #19
    Junior Member Репутация
    Регистрация
    02.07.2013
    Сообщений
    5
    Вес репутации
    17
    Нууу... Мои вам конгратуляторы! Поздравляю т.е. (в глубине души зажглась надежда: а может и мне повезет...)

  23. #20
    Junior Member Репутация
    Регистрация
    02.07.2013
    Сообщений
    8
    Вес репутации
    17
    Цитата Сообщение от uhriab Посмотреть сообщение
    Вот, что присылает злоумышленник (ключ мне действительно подошел и что-то уже успел расшифровать):

    Оплата пришла.
    1) Отключаем антивирус.
    2) Скачайте Decryptor по ссылке:
    http://gfile.ru/a1fHx
    Пароль на архив:
    SlJB0sTA
    3) Разархивируйте Decryptor в Мои документы пользователя с админ привелегиями.
    4) Введите ключ:
    <тут был мой ключ>
    Внимание!
    Востановить данные в случае ввода неверного ключа будет невозможно!
    Обращаем внимание, ключ не может содержать пробелы.
    Выделяем ключ - копируем - вставляем в окно дешифратора.
    И на всякий случай, скопируйте самые важные зашифрованные файлы на съемный носитель, после чего извлеките его из зараженного пк перед началом дешифрации.
    Для владельцев 1С, проверьте перед запуском стоит ли расширение .ARRESTED в файлах баз данных.
    Если стоит - хорошо, если нет, то
    а) Попробуйте открыть базу в текстовом редакторе, и если там будут понятные символы то она не зашифрована.
    б) если она не откроется(либо откроются иероглифы), то поставьте расширение .ARRESTED вручную, скопируйте заблаговременно зашифрованную базу на съемный носитель, и извлеките его из зараженного пк!
    в) Иногда после дешифровки 1С выдает ошибку: "Ошибка формата потока", в таком случае удаляем папки 1Cv8FTxt и 1Сv8Log, в них живут файлы *.log; *.lgp и *.lgf. Тогда пропадет весь журнал, но зато все заработает.
    Иных вопросов у вас возникнуть не может, если вы не изменяли зашифрованные файлы.
    5) Нажимаем кнопку расшифровать всё (либо сначала выбираем зашифрованный файл, затем нажимаем кнопку расшифровать файл, обращаем внимание, пароль должен быть вставлен в окно дешифратора).
    Начнется расшифровка.
    Среднее время расшифровки 2 часа.
    По окончанию дешифровки, дешифратор выдаст сообщение: Готово!
    Ваш метод не рабочий

Страница 1 из 3 123 Последняя

Похожие темы

  1. Заблокировались файлы. Расширение .ARRESTED
    От Saimon Efiopski в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 02.07.2013, 23:32
  2. Ответов: 3
    Последнее сообщение: 02.07.2013, 10:07
  3. все файлы изменили расширение на .ARRESTED
    От xabbep в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 02.07.2013, 00:11
  4. Файлы зашифрованы (.ARRESTED)
    От john210580 в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 02.07.2013, 00:10
  5. Ответов: 11
    Последнее сообщение: 01.07.2013, 22:46

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01361 seconds with 16 queries