Як розшифрувати файли?

[Zheny@]

а що скажеш якщо прийдеться якимось "біткоінами" платити?

А так і є.

Це CTB-locker, якщо українською, то : Curve Tor Bitcoin .

детальніше тут

[Zevs_Isver]

а що скажеш якщо прийдеться якимось "біткоінами" платити?

А так і є.

Це CTB-locker, якщо українською, то : Curve Tor Bitcoin .

детальніше тут

ну це логічно...

чи може хтось очікував що попросять заплатити на картку "ПриватБанку" ?

[Zheny@]

йому інет не допоможе

Йому допоможе бабло. І все. Ну і "може" чудо, новорічне. Раптом хтось взяв за яйця кіберзлочинця, і він в обмін на мінімальний тюремний термін - видав ключі.

чи може хтось очікував що попросять заплатити на картку "ПриватБанку" ?

Ну, там же радили файли переіменувати. Тому всяке може бути!

[Zevs_Isver]

чи може хтось очікував що попросять заплатити на картку "ПриватБанку" ?

Ну, там же радили файли переіменувати. Тому всяке може бути!

ех

дивишся на це все.... і стає сумно-сумно

[Zheny@]

дивишся на це все.... і стає сумно-сумно

 

ага

[Oli]

А ти отако нахрапом, файли переіменувати!

 

що ти ліпиш? які файли....

 

 

vasilij_lutsk,

 

ідіть на http://forum.kaspersky.com/index.php?showforum=18    можливо саме для вас і розшифрують   fc233949

 

сьогодні прийшов лист KLAN від Лабораторії Касперского, можливо і зроблять дешифратор.

[Zheny@]

що ти ліпиш? які файли....

Хочеш сказати, що ти не намагався файли переіменувати??? І що це не дало результатів?

[Oli]

Хочеш сказати, що ти не намагався файли переіменувати?

 

я цей вірус ще бачив 2014р.   але тоді нам повезло і касперский видав дешифратор.   тоді всі файли закінчувались  на ************@india.com

[Zheny@]

в 2014 CTB не було.

всі сучасні подібні локери  дешифрувати - НЕРЕАЛЬНО!

 

[Oli]

Zheny@,

 

вони ще з 2012 були....

http://forum.kaspersky.com/index.php?showtopic=239420 

[Zheny@]

Це не СТВ.

 

[sss381]

vasilij_lutsk, вірус зашифрував тільки фото та відео чи всі файли? Зашифровані файли містилися на системному диску?

Питання до всіх. Є один фізичний жорсткий, розбитий на локальні. Якщо запаролити локальні диски і вхід в систему зробити як користувач а не адмін - шифратор добереться до файлів?

[vasilij_lutsk]

vasilij_lutsk, вірус зашифрував тільки фото та відео чи всі файли? Зашифровані файли містилися на системному диску?

Зашифрував навіть деякі txt файли і на всіх локальних дисках.

[vasilij_lutsk]

Ну все, кажись приплили... Вирішив піти по інструкціях вірусописця, і тут халепа. Ссилка неробоча.

[dj_design]

почитайте специфіку роботи віруса і все стане ясно ...

 

http://habrahabr.ru/post/256573/

http://habrahabr.ru/company/eset/blog/248987/

 

ну і один коментар про роботу віруса:

 

"А в данном случае смена антивируса вам не поможет.

Я сталкивался с подобным видом атаки. Вот принцип подобной атаки с которой столкнулись мы:

Менеджер получила на почту письмо с текстом якобы от клиента о смене реквизитов и говорилось, что новые реквизиты в приложенном к письму файле. К письму прилагается архив, внутри архива был файл *.js (был и другой случай с другим типом исполняемого файла). После попытки его открыть началось шифрование файлов и к моменту когда мы получили запрос от менеджера, что у нее перестали открываться файлы и до момента когда бы отрубили ее комп и отключили связь в здании было зашифровано около 5000 файлов (благо ни одного важного за который пришлось бы платить).

Мы решили разобраться что же все же произошло. И т.к. файл был разширения .js мы прочитали порядок команд и тут нашли ответ почему антивирус никак не отреагировал на работу скрипта. Логика построено до безобразия просто.
После запуска программы начинается обращение к сайту злоумышлиника, с его сайта скачиваются программы для шифрования. Как оказалось это безвредный сам по себе софт для PGP шифрования. Скрипт формируется ключ для шифрования и запускает шифрования файлов. Не выполняется распространение по сети, просто он ищет файлы документа на локальной машине и на всех доступных расшаренных ресурсах.

По сути антивирус сам не видит в подобном алгоритме ничего вредного считая подобные действия — действиями пользователя, который сам решил защитить свои документы. За исключением того, что у пользователя не остается ключа дешифровки т.к. по окончания шифрования ключ удаляется из системы. И т.к. вы пишите на определенный E-Mail то злоумышлиник знает какой ключ надо использовать, чтобы открыть ваши файлы.

После этого случая мы собрали у себя систему хранения файлов с ежедневным снятием резервных копий со всех важных хранилищ."

[Zheny@]

От що справді цікаво, що добрався би шифратор до розділів, що закриті чимось типу trueCrypt ?

 

Мені попався файлик із розширенням cab. вважай архів.

[vaz75]

А як в цьому випадку діє вбудована в Вінду "система контролю облікових записів"?

[Zheny@]

А як в цьому випадку діє вбудована в Вінду "система контролю облікових записів"?

Якщо не має права на запуск файлів - то обійде. Адже js  - це сценарій ява-скрипт. Потрібно буде перелопатити gpedit. І налаштувати юзерам заборону не тільки exe / com / bat / msi  в ще й на відкриття архівів zip / rer / cab і сценарії js.

[dj_design]

 

А як в цьому випадку діє вбудована в Вінду "система контролю облікових записів"?

Якщо не має права на запуск файлів - то обійде. Адже js  - це сценарій ява-скрипт. Потрібно буде перелопатити gpedit. І налаштувати юзерам заборону не тільки exe / com / bat / msi  в ще й на відкриття архівів zip / rer / cab і сценарії js.

 

 

 

в коментах по ссилках що писав вище:

 

"Запретил в локальной политике выполнение скриптов и сплю спокойно. gpedit.msc -> Computer Configuration -> Windows Settings -> Application Control Policies -> AppLocker -> Script Rules -> Deny ALL (Path указан корень раздела C, а также корни остальных разделов) и исключения по умолчанию, которые создаются при создании первой Deny, тоже перевел с Allow на Deny.

И золотые правила с бэкапами никто не отменял."

[AgentSmith13]

Розшифрувати те не можуть ні специ того ж Каспера ні Доктор Веба, ні Симантека, десь на форумі Каспера читав (а в Росії воно вперше і з'явилося), що і рос. ФСБ не змогло (як писав адмін, директор мав знайомства). От так от. В знайомого бухгалтери перезаповнювали терміново ВСЮ базу за рік, ТЕПЕР БЕКАП Є, і "такий, як треба" (адміна там немає, а до мене звернулися після "аварії" - листа з "фінансовим звітом за жовтень" відкрили)... Коротко - або платити і сподіватися на чесність вимагачів, або запити файно охолодженою водичкою свої дані. І на майбутнє - бекапи, ФріНАС окремий для того, і акуратність при відкритті вкладених в пошту файлів - 90% такого - з пошти. Ну і заборонити запуск js своїм користувачем теж, звичайно, можна, для профілактики.

[MaestroA]

Malwarebytes выпустила Malwarebytes Anti-Ransomware для защиты от вирусов вымогателей шифрующих файлы и блокирующих ПК

[Zheny@]

круто.

Скоро усі інші відомі виробники антивірусів таку фігню замутять.

Хоча  грамотно налаштований Файрвол на ПК - може від такого захистити.