19.08.2014, 12:38 | #1 (ссылка) |
Новичок
Регистрация: 04.08.2011
Сообщений: 198
Репутация: 0
|
Подцепили троян от paycrypt@gmail_com
Здравствуйте уважаемые эксперты.
Сегодня утром на работе два сотрудника прочли "письмо счастья" с криптиком от paycrypt@gmail_com. Локальные документы зашифрованы, до сетевого диска с файлами вроде не дошло, или скрипт не успел дойти до него. Диск отрубили. В инете почитал инфу, все печально. Файлов PRIVATE.KEY и DECODE.ZIP не нашел, файлы со скрипта скопировал отдельно. Вроде в памяти еще должен висеть ключ, с которым шифровали, где искать если? Есть смысл выкладывать сам скрипт и куда. Если найдем файлы зашифрованные и не зашифрованные ( в архивах), есть вероятность расшифровать? Лог uvs |
19.08.2014, 12:51 | #2 (ссылка) | |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
если есть лицензия на антивирус ESET NOD32 откройте тему на техническом форуме
http://forum.esetnod32.ru/forum35/ если зашифрованы файлы: что делать? http://vmartyanov.ru/encrypted-files-what-to-do/ ---------- покажите содержимое этого файла Цитата:
http://cdn.echo.msk.ru/snd/2014-08-15-osoboe-1708.mp3 Последний раз редактировалось safety; 20.08.2014 в 12:02. |
|
19.08.2014, 13:10 | #3 (ссылка) |
Новичок
Регистрация: 04.08.2011
Сообщений: 198
Репутация: 0
|
http://rghost.ru/57548735
зархивировал 7z с паролем 123 на всякий случай, с хостинга можете сразу же удалить Лицензия то есть, только на форуме вроде результатов нет. Последний раз редактировалось safety; 20.08.2014 в 12:04. |
19.08.2014, 13:27 | #4 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
там оф. техподдержка есета с шифрованием_расшифрованием работает. я не работаю в оф. техподдержке есета.
не получится в есете, пробуйте на другом форуме запросить помощь, на вирусинфо например. да, с keybtc похоже тяжелый случай. только бэкапы спасут. |
19.08.2014, 13:31 | #5 (ссылка) |
Новичок
Регистрация: 04.08.2011
Сообщений: 198
Репутация: 0
|
Спасибо, будем писать в ESET.
Посмотрел на втором компе, уже нету файлов PAYBTC.BAT и других, т.е. уже отработал и удалился. По коду, все файлы после себя удаляет с затиранием данных? Если найду зашифрованный и чистый файл, поможет делу? Или каждый файл шифруется отдельным каким то ключом? на вирус инфо http://virusinfo.info/showthread.php?t=162092 без шансов Последний раз редактировалось disasm; 19.08.2014 в 13:41. |
19.08.2014, 13:42 | #6 (ссылка) | |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
судя по этим строкам можно найти публик_кей, видимо pgp используют для шифрования
Цитата:
----------- pgp - ассиметричное шифрование. шифруется паблик ключом, а расшифровка должна выполняться приват-ключом, который только у злоумышленников |
|
19.08.2014, 14:36 | #7 (ссылка) | |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
вот еще информация на дрвебе
Цитата:
|
|
19.08.2014, 16:15 | #8 (ссылка) |
Новичок
Регистрация: 04.08.2011
Сообщений: 198
Репутация: 0
|
Подскажите еще, как проверить и почистить из памяти?
И стоит это делать, или ждать рекомендация от ESET? Стоит перегрузить компьютер? Сейчас опасно продолжать работать с документами? Как узнать ID ключа? С первого компьютера файл pubring.gpg выцепил, на втором уже все чисто. |
Ads | |
19.08.2014, 16:44 | #10 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
ID ключа можно узнать с помощью оболочки под gnupg
вышлите в мою почту safety@chklst.ru ключ pubring.gpg посмотрю его. |
19.08.2014, 17:07 | #11 (ссылка) | |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
вот такой открытый ключ
-----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v1 mI0EU/LadgEEALMLw7rcmV1LGwIvnquvIOftCuO6KXMEYOgzwRMpdU/HRFhiSiNp w3N5qzQNdCm6kD6BP67kdRtXdOhq1TJ1gLI1wvhPUDPRGroQDf otB/z5DuH4IViN MS3/kBNpCKskLenumg77J/UryLTKSZowOGrptKDwTf09JaZC94yqjsnPABEBAAG0 KGNyeXB0cGF5IChjcnlwdHBheSkgPHBheWNyeXB0QGdtYWlsLm NvbT6IuAQTAQIA IgUCU/LadgIbLwYLCQgHAwIGFQgCCQoLBBYCAwECHgECF4AACgkQdUbB DzMO7eYU 0gP/c7sy8BUU2QgxAMPSzPuXwu/nSJzbZ2/2sZAKOw6b49+L5Ch8J4sE0NRjdQbR oDgClMB8qgmSyYTSaqxuDD/thidUXr7do9jH80COinfC8cud7nvSWuE47gecP+um x6xIiiTURv7NDt0K865qtlDth+uhEfHFbiPLWWReFFfWaeM= =Sjb0 -----END PGP PUBLIC KEY BLOCK----- Цитата:
|
|
20.08.2014, 09:52 | #13 (ссылка) | |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
сайт спеца из ДрВеб, который занимается энкодерами
http://vmartyanov.ru/ Цитата:
|
|
20.08.2014, 11:02 | #14 (ссылка) | |||
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
метод защиты от енкодера.23
начальные строки скрипта Цитата:
последние строки Цитата:
видимо в дальнейшем этот ключ будет выслан на адрес злоумышленников с прочей инфо. после чего данный файл будет удален. Цитата:
Последний раз редактировалось safety; 20.08.2014 в 11:12. |
|||
12.11.2014, 17:06 | #15 (ссылка) | ||
Новичок
Регистрация: 09.07.2011
Сообщений: 154
Репутация: 0
|
У меня вопрос такой, не подскажите, нарыл:
Цитата:
Цитата:
по действию видно, что сначала задается имя - cryptpay, затем ящик - paycrypt@gmail.com, потом секретная фраза берется из файла - passhprase-file|-file(passphrase|word.doc). Весь этот процесс варится в - |genkey.cry|, потом появляется - |secring.gpg|, где и хранится весь этот код? Откуда происходит такая фраза - |hckteam|Team|hck|? Что она делает? Заранее спасибо за ответы! Последний раз редактировалось lohudra; 12.11.2014 в 17:20. |
||
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Зашифровали файлы .paycrypt@gmail_com 30,06,2014 помогите | leonidya | Безопасность | 9 | 30.08.2014 16:29 |
Подцепили вирус в интернете .Система заблокирована | bobr | Безопасность | 2 | 07.07.2012 18:51 |
Троян | JeTTa | Безопасность | 16 | 03.10.2011 13:47 |
Троян | AaronKadler | Безопасность | 6 | 23.08.2011 21:43 |
Троян!!! | andrew ch. | Безопасность | 6 | 20.08.2010 00:12 |