164 ответов в теме

[moonjasper]

Всем доброго!

В общем, проблема такая. Сейчас по Сети ходит разводка. Мошенники присылают электронное письмо якобы от каких-либо государственных структур. Время и тематика выбирается очень тщательно (потом станет понятно как). Вложенный архив называется логично, внутри файл тоже. Его запускать не надо. Но, как вы уже поняли, пишу я это дело не просто так.

Жене директор прислал письмо с названием "Акт сверки 2014 г.". Сейчас, как пояснила жена, идет сдача какой-то отчетности, и эти акты очень нужны. Она открыла письмо, скачала архив, а там файл. Ну, да, запустила, т.к. не знала, что это роян. Антивирус молчал.

В итоге все офисные документы и базы данных оказались зашифорваны каким-то лютым ключом и имеют расширение .vault Название файла осталось прежним. Например, "отчетность отделов.vault. Также высвечивается, мол "заплатите, все дела".

Опуская все трололо (но без них, явно, не обойдется), кто-то сталкивался, может? Или, может, есть какие-либо дешифраторы, которые помогут как-то расшифровать эти файлы? Или как-то можно вообще данные спасти и восстановить? Хотя бы теоретически.

[koraven]

Всем доброго!

В общем, проблема такая. Сейчас по Сети ходит разводка. Мошенники присылают электронное письмо якобы от каких-либо государственных структур. Время и тематика выбирается очень тщательно (потом станет понятно как). Вложенный архив называется логично, внутри файл тоже. Его запускать не надо. Но, как вы уже поняли, пишу я это дело не просто так.

Жене директор прислал письмо с названием "Акт сверки 2014 г.". Сейчас, как пояснила жена, идет сдача какой-то отчетности, и эти акты очень нужны. Она открыла письмо, скачала архив, а там файл. Ну, да, запустила, т.к. не знала, что это роян. Антивирус молчал.

В итоге все офисные документы и базы данных оказались зашифорваны каким-то лютым ключом и имеют расширение .vault Название файла осталось прежним. Например, "отчетность отделов.vault. Также высвечивается, мол "заплатите, все дела".

Опуская все трололо (но без них, явно, не обойдется), кто-то сталкивался, может? Или, может, есть какие-либо дешифраторы, которые помогут как-то расшифровать эти файлы? Или как-то можно вообще данные спасти и восстановить? Хотя бы теоретически.

У Dr.Web вроде что-то есть на эту тему.

[moonjasper]

Я погуглил. На форумах вирусных лабораторий ясности нет. А антивирус другой, увы. Для помощи Др.Веб нужно им пользоваться. Увы.

[Hlad]

Я погуглил. На форумах вирусных лабораторий ясности нет. А антивирус другой, увы. Для помощи Др.Веб нужно им пользоваться. Увы.

Лицензия на доктор веб стоит в районе тысячи рублей. Если не готов заплатить тысячу рублей за зашифрованные данные - они тебе не нужны.

[Fijneman]

Я бы заплатил за разлочку создателям зловреда, если реально нет бэкапа старых файлов. Несколько раз читал про такие чтуки, вроде там постоянно совершенствуют шифрование и старые бесплатные утилиты не канают.

[Hlad]

Я бы заплатил за разлочку создателям зловреда, если реально нет бэкапа старых файлов. Несколько раз читал про такие чтуки, вроде там постоянно совершенствуют шифрование и старые бесплатные утилиты не канают.

Вымогателям не платят. 

[moonjasper]

Хлад, чтобы они помогли, нужно, чтобы событие наступило во время использования этого антивируса. А это не так произошло. Они не помогут. 

У меня такой вопрос. Как действует такой вирус? Он шифрует, а старые файлы удаляет? Т.е. теоретически хотя бы часть можно будет восстановить?

Я бы заплатил за разлочку создателям зловреда, если реально нет бэкапа старых файлов.

Это уголовно наказуемое деяние.

[WarStalkeR]

У меня такой вопрос. Как действует такой вирус? Он шифрует, а старые файлы удаляет? Т.е. теоретически хотя бы часть можно будет восстановить?

Пришли мне сам вирус и я посмотрю что можно сделать (запакуй его в архив с паролем и закинь на какой нибудь файлообменник). Теоретический можно будет все восстановить. А также подробнее опиши что именно за сообщение в стиле "заплатите, все дела" - очень поможет.

Сообщение отредактировал WarStalkeR: 31 March 2015 - 21:13

[moonjasper]

Пришли мне сам вирус и я посмотрю что можно сделать (запакуй его в архив с паролем и закинь на какой нибудь файлообменник). Теоретический можно будет все восстановить. А также подробнее опиши что именно за сообщение в стиле "заплатите, все дела" - очень поможет.

Спасибо. Самого файла нет. Ибо пишу из дома, а это случилось у жены на работе.
Вот текст, который она мне прислала в скайпе

[Hlad]

Кстати, да. 

В идеале - желательно еще и файлы "до" и "после", если вдруг такие есть (мало ли, вдруг что осталось на флешках/других носителях)

[moonjasper]

Это только тогда уже завтра. Если ее горе-админ к компу подпустит. Спасибо, мужики.

[WarStalkeR]

Спасибо. Самого файла нет. Ибо пишу из дома, а это случилось у жены на работе.
Вот текст, который она мне прислала в скайпе

За тором сидят. Хреново. Кароче, перешли мне именно сам документ, в котором вся инструкция написана - как есть, ничего в нем не трогая и ничего не изменяя. И перешли мне сам вирус (в архиве и с паролем). Посмотрю, что можно сделать.

[Hlad]

Судя по написанному в скайпе - там скорее всего какая-то настоящая криптография, кстати. 

Я бы снял образ с диска, и поковырял на предмет "удаленных оригиналов": посекторное стирание муторно реализовывать, проще схалявить, и сначала создавать зашифрованную копию, а потом удалять оригинал.

[vmarkelov]

если это не совсем дураки писали, то асимметричное шифрование. То есть зная ключ в теле вируса файлы можно шифровать. А вот расшифровывать можно только зная закрытую часть ключа, которая есть у автора вируса, но не содержится в теле вируса. Бида печаль...

[WarStalkeR]

Судя по написанному в скайпе - там скорее всего какая-то настоящая криптография, кстати. 
Я бы снял образ с диска, и поковырял на предмет "удаленных оригиналов": посекторное стирание муторно реализовывать, проще схалявить, и сначала создавать зашифрованную копию, а потом удалять оригинал.

Если их админ не баран - то он это сам сделает. А если баран, то им и всей фирме в целом не повезло. Не везде же сисадмины профи во всех областях.

[moonjasper]

если это не совсем дураки писали, то асимметричное шифрование. То есть зная ключ в теле вируса файлы можно шифровать. А вот расшифровывать можно только зная закрытую часть ключа, которая есть у автора вируса, но не содержится в теле вируса. Бида печаль...

На форумах вирусных лабораторий некоторых дают ответ, что дешифровка невозможна без части ключа владельца трояна. А другие обещают полную расшифровку. Кому верить — хз. Суммы-то там немаленькие далеко за дешифровку (тысячи долларов), а гарантий, я так понял, никаких.

 

Судя по написанному в скайпе - там скорее всего какая-то настоящая криптография, кстати. 

Я бы снял образ с диска, и поковырял на предмет "удаленных оригиналов": посекторное стирание муторно реализовывать, проще схалявить, и сначала создавать зашифрованную копию, а потом удалять оригинал.

Вот, я тоже подумал, что оно просто потерло оригиналы.

[Junta]

На работе была такая же фигня. Power Data Recovery - не парился с зашифрованными, восстанавливал удаленные

Сообщение отредактировал Junta: 31 March 2015 - 21:32

[moonjasper]

Если их админ не баран - то он это сам сделает. А если баран, то им и всей фирме в целом не повезло. Не везде же сисадмины профи во всех областях.

Баран. Потому что сам мне позвонил и спросил как быть (MBR у них как-то летел давно, он не смог, а я смог в Hiren's Boot CD). А я сам баран в этом деле. Просто чуть гуглить могу.

[Hlad]

Баран. Потому что сам мне позвонил и спросил как быть (MBR у них как-то летел давно, он не смог, а я смог в Hiren's Boot CD). А я сам баран в этом деле. Просто чуть гуглить могу.

Значит порядок действий такой:

1. Вырубить комп

2. Снять с него винт

3. Найти пустой винт такой же, или бОльший по объему

4. Подцепить к одному компу, и с первого винта снять физический образ на второй винт, посекторно.

5. Ковырять образ диска на предмет стертых файлов. 

[moonjasper]

Ага. Понял. Спасибище!