Замечательное достижение криптологов в плохих руках.
Сам троян попался MSE, после Особой проверки. Но было уже поздно. Предположительно заражение произошло через и-мэйл.
]]>В понедельник попробую пройтись еще раз всеми дешифраторами.
Получится не получится, а попробуй еще te94decrypt с ключом 371: te94decrypt.exe -k 371
Мож повезет, кое-у кого с 371 получилось расщифровать...
И я попал на эту радость. На работе начальница поймала "письмо счастья". Ни ДрВебовский дешефратор, ни Касперского не помогли. Пока даже не знаю что делать. Видимо попал на свежую разновидность.
Совесть, там в AES шифруется, тот дешифратор не универсален и разработан только под один алгоритм. Если есть лицензия от DrWEB - зашли им файл на анализ, это самое дешевое решение.
]]>ИМХО RDP и слабый пароль) Ну по крайней мере обычно так.
Из моей практики рабочие станции в сети обычно заражались через общие папки серваков (сами серверы были не заражены), с какого-нибудь "слабого звена", на которым неосмотрительно заюзалась зараженная флеха или шарились в инете где-попало.
Был один случай заражения сервака и всех компьютеров в сети вирусом sality (заражает все экзешники). Виноват был пришлый рограммист, обслуживающий бухгалтерскую программу, занесший sality со своей флешки, поработав непосредственно на сервере. И, не кстати, закончился срок пиратского ключа антивирусника на всех компах
Заражения через RDP пока не встречал, тьфу-тьфу.
]]>vektor48 пишет:Утром пришли и обнаружили такую беду...все файлы на сервере зашифрованы расширение стоит.qwerty и везде файл ТХТ как расшифровать типа отправьте письмо на мейл и мы расшифруем вам данные.
Как предполагаете эта инфекция к вам попала?
ИМХО RDP и слабый пароль) Ну по крайней мере обычно так.
]]>Утром пришли и обнаружили такую беду...все файлы на сервере зашифрованы расширение стоит.qwerty и везде файл ТХТ как расшифровать типа отправьте письмо на мейл и мы расшифруем вам данные.
Как предполагаете эта инфекция к вам попала?
]]>Your files have been encrypted!
The decryption utility costs 10$!
More:
http://decryptor.******
E-mail: decryptor2008@******
ICQ: *******
S/N BF_3-pUChT$+bm5
Do not delete or modify the file!!!
Ни в коем случае его не удаляйте. Лучше сделайте бекап, ключ везде индивидуальный т.к. вот эта строка: S/N BF_3-pUChT$+bm5 это серийный номер какого то компонента (винта, материнки и т.д.) компьютера (зашифрованный тоже в AES). Я бы посоветовал в Dr.WEB обратиться если информация ценная.
]]>Доброго времени суток!
Доносим до Вас не самую приятную новость, ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере были зашифрованы с помощью самых криптостойких алгоритмов.
Восстановить файлы можно только при помощи дешифратора и пароля, который, в свою очередь, знаем только мы.
Подобрать его невозможно. Переустановка ОС ничего не изменит.
Ни один системный администратор в мире не решит эту проблему не зная пароля.
Ни в коем случае не изменяйте файлы! А если решились, то сделайте резервные копии.
Напишите нам письмо на адрес Alex67584@mail.ru для получения дальнейших инструкций.
Среднее время ответа специалиста 1-6 часов.
Письма с угрозами ни к чему хорошему вас не приведут.
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
По классификации DrWeb, это действие Trojan.Encoder
Для зарегистрированных пользователей DrWeb оказывает бесплатную помощь
Форум DrWeb (Сообщение Dr.Robot что делать):
Вирус зашифровал файлы
С форума Virus INFO предлагают ссылку на дешифровальщик от DrWeb te94decrypt.exe:
Вирус шифровальщик .qwerty
(С ключом 387: te94decrypt.exe -k 387 или te94decrypt.exe -k 387 -path D:\Path )
http://forum.kaspersky.com/index.php?sh … &st=20
(С ключом 389: te94decrypt.exe -k 389 )