Собственно с утра у клиентоса файлы все зашифрованы, расширение .qwerty Вот пример зашифрованного excel http://yadi.sk/d/Ao0dtloCBt5Ny
Штатные утилитки не помогли. Антивирус на комп пока не ставили.

плати бабло - получишь дешифратор...

Ну и текст злоумышленников.
Доброго времени суток!  
Доносим до Вас не самую приятную новость, ваш компьютер был атакован опаснейшим вирусом.  
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере были зашифрованы с помощью самых криптостойких алгоритмов.  
Восстановить файлы можно только при помощи дешифратора и пароля, который, в свою очередь, знаем только мы.  
Подобрать его невозможно. Переустановка ОС ничего не изменит.  
Ни один системный администратор в мире не решит эту проблему не зная пароля.  
Ни в коем случае не изменяйте файлы! А если решились, то сделайте резервные копии.  
Напишите нам письмо на адрес fhuyfd67@mail.ru для получения дальнейших инструкций.  
Среднее время ответа специалиста 1-5 часов.  
Письма с угрозами ни к чему хорошему вас не приведут.  
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!

> Антивирус на комп пока не ставили.

и не надо, хуже будет

еврейский вирус? скачайте файл и запустите?

тебе же оставили сообщение, куда бабло слать, не так ли ?

http://www.yandex.ru/yandsearch?rpt=rad&text=%C7%EB%EE%E1%ED%FB%E9%20%E2%E8%F0%F3%F1.%20%CF%EE%EC%EE%E3%E8%F2%E5%20%E4%E5%F8%E8%F4%F0%EE%E2%E0%F2%FC%20%F4%E0%E9%EB%20.qwerty

(4) обычно это г..о в почту прилетает.

В полицию обращались?

(7) а как же корпоративный антивирь ?

(8) Не сильно мопожет

поможет*

(9) а это не вирус

(10) Вообще не поможет в текущей ситуации. Но могут найти и закрыть "специалистов". Напрмер, по IP-адресу сети.

(12) любой вирус на самом деле не вирус

(6) Да все уже посмотрел

Вопрос по теме: уже не первый раз про это слышу. Но всегда на Windows.
На *nix такое бывает когда-нибудь?

(16) Сплошь и рядом, даже на маке

(1) +100500 , тут либо платить , либо забыть о том что зашифровано

(15) Терминальный сервак жеппой в инет торчит ?

(16) Есть феррари которая у 2-3 человек, и есть жигули которая у 99.9% людей

Ка ты думаешь на основе статистики поломки жигулей можно делать вывод о поломках на феррари?

(13) ага , а еще могут ящик почтовый заблокировать и тогда многие так и не смогут получить дешифратор

(19) не. Обычная рабочая тачка на которой файловые базы лежат

(22) см. (7)

(21) Многие пусть делают бэкапы и надёжно их хранят.
А так разведётся куча желающих лёгкого бабла.

(17) Программа обнаружилась при просмотре картинок в Google Images. Когда пользователь нажимал на картинку, то браузер Safari скачивал вредоносное ПО запакованное в архив ZIP.

Mac Defender не представляет никакой угрозы, пока пользователь САМ её не ИНСТАЛИРУЕТ и не ПОДТВЕРДИТ её установку с помощью root-прав.

взято отсюда.

Если у меня сервер для хранения нужной хрени - нафиг я туда буду что-то устанавливать. А в Windows запросто: exe-шник скачался, запустился и вуаля.

+25 http://argentina.forumy.eu/t459-topic

(0) штатные утилитки - это какие?
Что мешает по инструкции выложить на форум касперского ил dr. web
http://virusinfo.info/content.php?r=136-pravila
или есть надежда что здесь всем форумом дешифруют

(25) > Mac Defender не представляет никакой угрозы, пока пользователь САМ её не ИНСТАЛИРУЕТ и не ПОДТВЕРДИТ её установку с помощью root-прав.
...
Если у меня сервер для хранения нужной хрени - нафиг я туда буду что-то устанавливать. А в Windows запросто: exe-шник скачался, запустился и вуаля.

Да ладно. Винда месадж вываливает про установку из ненадёжных источников, ну и
http://www.securitylab.ru/vulnerability/446864.php
http://www.securitylab.ru/vulnerability/446856.php

(0) Прогнать cureit, не поможет - купить антивирус и стучаться в саппорт.

(0) мы недавно столкнулись. весь сервак удаленный был зашифрован. Обратились к др вебу. они расшифровали базы.

обошлось покупкой лицензии к нему. а так требовали снас 25 т.р.

(30) Михаил, удивительно, что у вас такое могло случиться

(32) сами в шоке были. Установили новый сервак админы удаленный, ни антифируса нифига не поставили. кроме того был сервер 2004й помоему. в общем с дырой. Ниче не сделал. Да еще бекапы не наладили. было весело

(0) "Антивирус на комп пока не ставили"

после этой фразы должен быть дикий закадровый смех

(34) он все равно не поможет, если подбирают пароль для входа по RDP, а потом входят удаленно и вручную зашифровывают файлы

(35) если взлом через ручное вторжение по сети - так это уголовная статья же. логи на сервере остались ?

(34) Спешка нужна при ловле блох

(35) о как!
а если пароль отвечает требованиям сложности, сколько лет ты его будешь подбирать?

оооо, как страшно тут

(30) а как же они смогли расшифровать? и это стоило дешевле 25 тыс.?

(39) сами зашифровывали :)

(39) ну видимо были к данной версии вируса ключи.

сколько стоило я написал выше. 2500р помоему за лиценьзию

(41) Откуда у них ключи интересно? Может (40)?

(42) я не буду вдаваться в подробности и фантазии. Ключи к вирусам думаю ен постоянно меняються. кто-то заплатил у тех и взяли. или им алгоритм известен

(42) может есть исходник вируса и алгоритм известен, хотя ..

(36) это не у меня было - я прочитал что шифруют вручную на мисте в похожей ветке (если не в этой теме)
(38) вручную не подбирают (я кстати взломом не занимаюсь, зачем мне подбирать)

я заметил вот что - везде, где есть FTP сервер, постоянно кто-то поключается и подбирает пароль, имя обычно admin и т.п.

Вирус съел базу
см. сообщение 124

Я думаю нет смысла дрвебу шифровать и заниматься таким гемором как расшифровкой за смешные деньги. Скорее всего алгоритм известен

(41) разве по реквизитам которые озвучат вирусошифрователи их нельзя поймать ? если уже научились наказывать воров автомобильных номеров  которые использовали для оплаты всякие яндекс кошельки

(47) например, если бы делали так - зашифровали файл, пароль достаточно большой у себя сохранили, а пострадавшему выдали его регистрационный (порядковый) номер у себя. то расшифровать будет действительно нельзя (ключа то нету), даже если алгоритм шифрования известен. судя по всему ребята не заморачиваются, а используют готовые решения)))

(0) напиши в службу поддержки mail.ru, что бы заблокировали почту  fhuyfd67@mail.ru , )) хоть что то им плохое сделаешь))

(48) можно думаю. но наше руководство решило не заниматься этим.

кроме того те кто расшифровывают доказать, что это их вирус - невозможно. А расшифровывать бесплатно они не обязаны.

(0)Был случай, когда человек написал на их почту, а в ответ пришёл ключ дешифратор, деньги он так и не платил

(49) я очень сомневаюсь что это был взлом сети с ручным шифрованием.

Статья 272. Неправомерный доступ к компьютерной информации

1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации,

. То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности, -

наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо арестом на срок до шести месяцев, либо лишением свободы на тот же срок.

(54) кстати что-то миста давно не тормозила

http://infsecvir.ru/blogs/infsecvir/ocherednoi-trojan-encoder-shifruet-faily-dopisyvaja-rasshirenie-qwerty.html

(49) есть такие решения. А используя асимметричную криптографию, можно просить от каждой жертвы временный ключ шифрования, который пошифрован открытым ключом вшитым в малварь. И ведь без закрытого ключа, ничего не расшифруешь, разве, что из памяти незатёртый временный ключ доставать, пока зловред своё дело не закончил и не замёл все следы.

Та же фигня, сегодня все зашифровалось, только расширение у файлов crypted!
та же электронка, отправили письмо на их почту ждем

(58) да он у вас не только файлы зашифровал

А в чем проблема. Ну заплатите вы им эти 25К. Люди же работали, писали. А потом вычтите их из зарплаты сотрудника, который в рабочее время по левым сайтам с вирусами лазил.

какие реквизиты для оплаты представлены ?

Сталкивался с ситуацией когда зашифрованной оказалась файловая база 1с, а бэкапов не было. Поанализировав файл базы в Farе, обнаружил что зашифрованы только первые 3кб. Почитал инфу о структуре файла, 2 дня покопался в двоичном коде и базу удалось восстановить

(0) Посмотрел я файлик, детский сад.

пропускаешь 96 символов потом содержимое файла XOR на последовательность:
12 B1 BA 2F 98 92 8A 82 BD C4 2B 7C 91 8B EE 31

в файле который ты выложил счет на 99 позиций всяких пленок на экраны для телефонов

(64) так это ты писал этот шифровщик ?

(66) нет, просто видно невооруженным взгядом что это простой xor

(66) жесть
+100500 за юмор

(67) куда тебе скинуть один файлик, который так же зашифрован ?

(69) doc или xls - там ключ на раз-два будет видно. На файлообменник, ссылку сюда.

(70) не хотело бы на файлообменник
в почту мог бы написать ?

(71) написал

(64) Ничего не понял.
Есть еще вариант 2 файлика.
1 зашифрованный другой нет
http://yadi.sk/d/kdhufNAnBtn8E

(73) да, не 96 символов надо пропускать, а 83. А потом XOR-ить на последовательность из (64).

(74) DrWeb говорит
"Очевидно же, что это решение для другого qwerty. Сами попробуйте: не расшифровывает.
Вся требующаяся информация получена. Ожидайте ответ в этом запросе."

(74) Спасибо! И вправду видно глазом. Надо быть вовсеоружии.

(16) Unix - прародитель вирусов ;)

(25) А фигли ты под админом сидишь?

drweb сделали расшифровщик

(78) прочитали (64) и сделали выводы ?
:)

(79) Да фиг их знает :)

Вам отвечали с этой почты?

(0) А вот тут написали что "Все, сделал расшифровку."
http://forum.drweb.com/index.php?showtopic=315720

(82) Я с ними с утра плотно общался. Сейчас выложили

http://download.geo.drweb.com/pub/drweb/tools/te94decrypt.exe
te94decrypt.exe -k 389

(84) Это вирус?

троян

В ссылке (84) дешифратор

drweb рулит

Только оказывается есть одна особенность.
Когда вирус шифровал файлы с базой работали и соответственно троян его зашифровать не смог, но файл базы переименовал.
Соответственно для восстановления достаточно его обратно переименовать, если его докторвебовской утилитой попытатся восстановить, то он превращается в набор байтов, точнее снова криптуется :)

(72) отправил давно

(84) не удалось найти подходящий ключ расшифровки

(91) Как так. Возможно te94decrypt.exe у тебя из кеша. Он такого же размера как и предыдущий, но в предыдущем ключа -k 389 небыло, в этой версии есть

У меня сейчас версия 1.7.9.0

Этот дешифратор можно запустить в режиме подбора ключа.
Запускаем
te94decrypt.exe нужныйФайл.doc.crypto
В каталоге получаем 400 копий этого файла с разными ключами
Находим подходящий, заглядывая внутрь
Запускаем с нужным ключом, например
te94decrypt.exe -k 393

(93) повезло тебе, у тебя всего лишь хор. а мне вот платить пришлось