Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус шифровщик!

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

msigloo

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго времени суток. Сегодня обратился пользователь с жалобой на то что в его сетевой папке не открывается ни один документ. В папках со "сломанными" документами лежат 3 файла:
HOW_DECRYPT.HTML
HOW_DECRYPT.TXT
HOW_DECRYPT.URL
 
В файле HOW_DECRYPT.HTML есть послание:

Цитата:
All files including videos, photos and documents on your computer are encrypted by CryptoDefense Software.
 
Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key.  
 
The single copy of the private key, which will allow you to decrypt the files, located on a secret server on the Internet;  
the server will destroy the key after a month. After that, nobody and never will be able to restore files.
 
In order to decrypt the files, open your personal page on the site https://rj2bocejarqnpuhm.browsetor.com/2j0z and follow the instructions.
 
If https://rj2bocejarqnpuhm.browsetor.com/2j0z is not opening, please follow the steps below:  
 
1. You must download and install this browser http://www.torproject.org/projects/torbrowser.html.en
2. After installation, run the browser and enter the address: rj2bocejarqnpuhm.onion/2j0z
3. Follow the instructions on the web-site. We remind you that the sooner you do, the more chances are left to recover the files.
 
IMPORTANT INFORMATION:
 
Your Personal PAGE: https://rj2bocejarqnpuhm.browsetor.com/2j0z
Your Personal PAGE(using TorBrowser): rj2bocejarqnpuhm.onion/2j0z
Your Personal CODE(if you open site directly): 2j0z

 
По ссылкам предлагается заплатить 500$ за ключ. По теме пока нашел только это:
http://www.wintips.org/how-to-remove-cryptorbit-howdecrypt-virus-and-restore-your-files/
http://www.bleepingcomputer.com/virus-removal/cryptorbit-ransomware-information
Днем попробую посмотреть копии на локальном компе пользователя.  
 
У кого нибудь был подобный инцидент?
Всего записей: 10 | Зарегистр. 20-02-2009 | Отправлено: 00:52 16-04-2014
Cheery



.:МордератоР:.		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
msigloo
http://www.bleepingcomputer.com/virus-removal/cryptodefense-ransomware-information
 
+ Windows заблокирован!
+ Вирус(ы) в Windows XP,Vista,7. Проблемы. Решения.
+ Помощь при лечении компьютера от вирусов
мало тем, что ли?
 
ps: не заметил, что первую ссылку уже нашли
если там действительно шифрование, то других способов, как бы, может и не быть.
 

Цитата:
When CryptoDefense encrypts a file it does not actually encrypt the entire file, instead the CryptoDefense virus replaces the first 512 bytes of the file.

 
 
кстати
http://www.theregister.co.uk/2014/04/03/cryptodefense_rsa_private_key_on_disk/

Цитата:
Don't pay up! The decryption key is on your hard drive


Цитата:
Infected users should check in the Application Data > Application Data > Microsoft > Crypto > RSA folder of their PCs for the private key.


----------
Away/DND
Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 00:55 16-04-2014 | Исправлено: Cheery, 01:00 16-04-2014
a3art



Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
добрый день.
 неделю назад столкнулся с такой же бедой..  написал сообщение в DRWEB  и они через пару дней прислали файл дешифровщик...
 конечно он не все восстановил.. но 90 процентов точно...
Всего записей: 4 | Зарегистр. 04-01-2011 | Отправлено: 11:27 16-04-2014
9285

BANNED		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
a3art
На всякий случай уточню - они делают такую услугу лишь владельцам их лицензии.
Правда меня постоянно мучают какие то сомнения насчёт этой помощи.
Как то уж очень удачно у них всё это получается - особенно удаление ответов в темах на их форуме, где участник описывает возможные ключи для их декриптора. Почему? Не хотят чтобы другие пользователи побороли проблему?
Всего записей: 4833 | Зарегистр. 06-10-2010 | Отправлено: 11:47 16-04-2014
trigger

Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
восстановить файлы из бэкапа
Всего записей: 403 | Зарегистр. 09-07-2004 | Отправлено: 12:32 16-04-2014
Dadhi1

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ребята! Мне восстанавливать не надо! Бекапы имеются!
 
Но эта дрянь меня напрягает как по расписанию каждое воскресенье ближе к вечеру!
 
прихожу на работу в понедельник, а эта "радость" лежит во всех сетевых папках ..
 
поражает только расшаренные папки и аккаунты пользователей на серваке .. (там ничего не держим)
 
Напрягает.почему оно "работает как по расписанию". подскажите куда копать. Впечатление словно где то в планировщике задач эта бяка сидит!
как его побороть ? ..
Всего записей: 299 | Зарегистр. 31-01-2013 | Отправлено: 06:50 23-02-2021
Mavrikii

Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dadhi1
Вирус(ы) в ОС Windows. Проблемы. Решения. (II)

Цитата:
Впечатление словно где то в планировщике задач эта бяка сидит!

значит и сидит, либо по расписанию извне. и может быть на любой машине, если проникает через уязвимость.
Всего записей: 16392 | Зарегистр. 20-09-2014 | Отправлено: 06:57 23-02-2021 | Исправлено: Mavrikii, 06:58 23-02-2021
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус шифровщик!


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2025

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru