Мошенники – расшифровка по двум файлам


Добрый день. Попал на вирус. Файлы (мультимедия, архивы, MS Office) зашифрованы, к расширению добавилось .stoppirates
Антивирусы не видят, Касперский и DrWeb советов дать не могут. Жалко очень детских фотографий.
Есть ли возможность расшифровки если имеются по две версии файлов (подлинных и после шифрования) ?
Есть работающие файлы на др. носителях.Размеры gjkyjcnm. совпадают с зашифрованными.Помогите, пожалуйста, очень жалко детских фотографий.

Комментарии
— SATtva (17/12/2014 11:04)   
Помочь можем только советом: не используйте Винду.
Гость (17/12/2014 12:13, исправлен 17/12/2014 12:20)   

Перед этим скачал с форума программу, якобы простая и бесплатная грабилка видео с экрана. После попытки установить вышла надпись – "Внимание! Вы нарушили закон об авторском праве! Ваши файлы заблокированы! Чтобы разблокировать файлы вам необходимо перейти на сайт stop.pixub.com и следовать дальнейшим инструкциям. Ваш id 587159.
У вас есть 5 попыток ввода пароля. При превышении этого
лимита, все файлы будут уничтожены! Не пытайтесь сами восстановить данные, иначе Вы можете потерять их навсегда. " [censored]
Гость (17/12/2014 12:15)   
Упс, вымогатели живы и ссылка работает. Ув. модераторы, уберите ссылку если можно.
— unknown (17/12/2014 12:39, исправлен 17/12/2014 12:40)   

Можно добавить ещё немного кэпства ;)



На других носителях должны быть бэкапы с данными.



Бэкапы данных нужны, чтобы можно было переставить систему с нуля после взлома, не надеясь на антивирусников и прочих платных шаманов по вызову.

— элис (17/12/2014 14:54)   
Есть ли возможность расшифровки если имеются по две версии файлов (подлинных и после шифрования) ?


подлинный файл XOR шифрованный известный файл XOR шифрованный неизвестный файл
даст ли регулярность?

посмотрите первые блоки зашифрованных файлов одного типа (фотки с одного фотика, например)
похожи ли между собой?


но вообще такая вирусня уже давно стойко шифрует...


вытащите тело зловреда, запостите на соотв. форум, может, у энтузиаста найдётся время посмотреть.


последний совет: разошлите вирус всем друзьям, при большой зоне поражения антивирусы зачешутся
Гость (17/12/2014 16:19)   
Слышал про подобную проблему, чел обратился к специалисту, и ему удалось расшифровать. Детали про вирусняк уже не помню. Сыграло роль то, что для некоторых зашифрованных файлов нашлись их оригиналы в бэкапах, плюс сам код зловреда был проанализирован. Кажись, там был XOR с RC4-гаммой, причём seed этой гаммы из-за багов брутфорсился за разумное время.
Гость (17/12/2014 21:40)   

Блин перечитал.. С первого раза неправильно "увидел" :)

Хорошор бы указывать какая система установлена.
Попробуйте avz и результаты на сайт спецам.
Гость (17/12/2014 22:08)   
Вот для ознакомления[link1]
Гость (17/12/2014 22:11)   
Еще вот[link2]
Гость (18/12/2014 10:10)   
Жалко очень детских фотографий.
Помогите, пожалуйста, очень жалко детских фотографий.

Не жалейте, со скрытых ресурсов ещё раз скачаете.
Гость (26/12/2014 18:59)   
За 10 долл. вебмани прислали программу, идентифицируется как faststone capture в 460 kB и пароль к ней.Расшифровал.
Если кому надо, есть данные кошелька вымогателя.
Насчет фотографий – ирония понятна.Но, когда будете уже в возрасте,поймете,что фотографии детей за 5-10 лет, которые, к сожалению, ранее не дублировал,это самое ценное для родителей.Там все этапы их детства. Могло быть утеряно навсегда !
Гость (26/12/2014 19:40)   
За 10 долл. вебмани
Зря конечно. Кормите их, а они вам за это ещё троянца напишут.
прислали программу, идентифицируется как faststone capture в 460 kB и пароль к ней.Расшифровал.
Перешлите всем известным антивирусникам, если не жаль. Может быть программа и ключ в ней не уникальны, тогда напишут расшифровальщика для этой версии трояна. Другим людям с виндоус и без бекапов поможете, возможно.
Если кому надо, есть данные кошелька вымогателя.
Это в сферическое управление К надо отправлять. После чего в сферическом вакууме станет на одного криптокакера меньше.
— Антон (04/03/2015 21:12)   
столкнулся с подобной ситуацией, разобрал скрипт который подкачивал gpg, bat-ник в котором был прописан ключ для зашифровки файлов. Вопрос: можно ли расшифровать файлы с помощью ключа которым зашифровали?
Гость (04/03/2015 21:31)   

Может начнете хранить все бесценное на внешнем носителе?
— Антон (04/03/2015 22:08, исправлен 05/03/2015 09:22)   

Команда которой шифровались файлы:


Ключ в батнике выглядит так:

его регистрация проходит так:

пробую дешифровать файл VAULT так:

— Антон (04/03/2015 22:10)   
зачеркнутое считать верным (почему-то зачеркнулось)
— unknown (05/03/2015 09:24)   
Исправлено ваше зачёркнутое. В местной разметке[link3] разберитесь. Для начала достаточно выделять код как "%%".
Гость (05/03/2015 16:26)   


Нет ли здесь скрытого призыва к отказу от уплаты налогов?
— Антон (05/03/2015 20:39)   
я так понимаю Расшифровка с помощью Public ключа: даже не старайся :0(
Гость (12/03/2015 19:52)   
По ссылке из коммента[link4]:

В США этому россиянину предъявлены обвинения в сговоре, хакерстве, кибермошенничестве, банковском мошенничестве и отмывании денег. Богачева также подозревают в создании сети зараженных компьютеров Cryptolocker[link5], которая шифрует информацию на жестком диске и требует выкуп за ее расшифровку.

Богачев проживает в России, но раньше часто путешествовал.

Есть, кому претензии предъявлять.
— pgprubot (04/07/2015 02:30, исправлен 04/07/2015 02:33)   

Ещё одна статья на тему[link6]. Он же якобы автор ZeuS'а [1][link7], [2][link8]. Технических подробностей нет, всё завуалировано многозначительной фразой


Материалы судебного дела показали, что хакера предала не программа, а человек. Информатор передал ФБР адрес электронной почты, используемый администратором GameOver ZeuS.

Ссылки
[link1] http://habrahabr.ru/post/206830/

[link2] http://forum.drweb.com/index.php?showtopic=309877

[link3] https://www.pgpru.com/proekt/wiki#h14-6

[link4] https://www.pgpru.com/comment90176

[link5] https://www.pgpru.com/comment75094

[link6] https://interpreted.d3.ru/perevod-okhota-na-samogo-razyskivaemogo-khakera-kotoryi-nanios-ushcherb-v-milliard-dollarov-776615/

[link7] https://www.pgpru.com/comment6904

[link8] https://www.pgpru.com/comment41241