Форум казахстанского налогоплательщика

Как не предупреждал - наши поймали! Вот это "письмо счастья":

Петр Петрович [mailto:buhgalter-main092b@zoopsys.com]
From: Петр Петрович [mailto:buhgalter-main092b@zoopsys.com]
Sent: Tuesday, November 10, 2015 10:24 AM

Subject: Счета октябрь 4977



Здраcвствуйте. Хотели бы напомнить, что в соответствии с условиями действующего договора Вы должны оплатить октябрьскую поставку товаров в течение пяти банковских дней - скан-копии счетов (см. в приложении). Ожидаeем добросовестного выполнения обязательств с Вашей стороны.

#164_Первичные_поставка_oct_9c3.zip

Вложение без имени 00014.txt

Senator_I писал(а):Здраcвствуйте.

Senator_I писал(а):Ожидаeем

Двоишник писал это.

Саша, это я почистил невнимательно, извините, там когда я копировал с почты сюда, в середине слов ссылки были типа "сееf2165" ну и т.п. Чтобы удобночитаемо на форуме было, я ссылки поудалял, но, видимо, не до конца.

Я то думал это из оригинала письма

Хоть в письме все пристойно и читаемо, при пересылке получилось вот:

Здра1021fd0dfba9f98d8e59dcb1c0b1f3dcвствуйте. Хотели бы наce6d45d9a33c03baabe28f412894215cпомнить, что в соответствии с условиями действующего договора24d52cbc808288dcf688f4e8282491d4 Вы должны оплаdee9d1fc54770da593140e74608231feтить октябрьскую поста2dd5bee000206404e2b72e61254c0e78вку товаb8c87a912b9ac98fdde6d804d6b342bdров в течение пяти ба2f5d34efc62cc333f60cffeb8ca7e216нковских дней - ска118cca7a8a22663e0daa78b838b60c94н-копии счетов (см. в приложении). Ожидаe71cfac38534db6ca878d8e1a856f286ем добросовестного выполнения обязаb78dea852b60de3d9b33728a30ad9a10тельств с Ва901e34bca55c6bbe52af85208d3ce512шей стороны.

Дети получили письмо счастья, все файлы doc.,exe., 1c, банк-клиент теперь не открываются. Файлы перешифрованы в тип файла"VAULT". Это теперь, всё, не восстановить?

С большой вероятностью. Лучше найдите хорошего мастера. Хотя я например за такое не берусь.

Все оказывается хуже чем я думала. Уж не знаю, насколько хороши наши спецы, но они сказали, что фактически все рабочие файлы уничтожены. Легче полностью переустановить винду. Только фото открываются((((((.

аксиомка писал(а):Это теперь, всё, не восстановить?

Практически нереально. Пробовал. Те файлы, которые не прошли двойную шифровку, поднялись только excel и то без форматирований и стилей. Word, PDF и базы безуспешно
Поэтому всегда и всем рекомендую сохранять резервные копии рабочих файлов и баз куда-нибудь на внешний носитель. Хотя если вирус работает и вставлена флэшка, там тоже все шифруется...

Те кто распространяли этот вирус вообще бессовестные. Я и раньше слышал про такой вирус, слышал, что после перечисления денег злоумышленникам, они отправляли жертве ключ к восстановлению.

kaznachei писал(а):Те кто распространяли этот вирус вообще бессовестные. Я и раньше слышал про такой вирус, слышал, что после перечисления денег злоумышленникам, они отправляли жертве ключ к восстановлению.

Ага, только часто просят под 1000 $ и выше. Т.е. по чуть-чуть не размениваются, не паляться, в итоге платят те кому сильно данные нужны. После чего ситуация на этом компьютере могла повториться вновь через некоторое время.

аксиомка писал(а):Все оказывается хуже чем я думала. Уж не знаю, насколько хороши наши спецы, но они сказали, что фактически все рабочие файлы уничтожены. Легче полностью переустановить винду. Только фото открываются((((((.

Пункт нумер раз: ничего не уничтожено, всё на месте.
Пункт нумер два: все на месте, но зашифровано алгоритмом RSA с ключом 2048бит, подбор кодов без закрытого ключа может занят миллионы лет
Пункт нумер три: злоумышленники кто выпустил сие, запрашивают от 200-300$ за получение этого ключа.
Кароче. Самостоятельно дешифровать шанс чуть больше одной миллиардной процента, а получить обратно свои данные заплатив злоумышленникам - это всё равно что итить у террористов на поводу, у мну пару недель секретарша хапанула этот Vault, платить гавнюкам отговорил, тётя отделалась восстановлением данных за 3 месяца, бекапов более новых небыло.

shurik_kz писал(а): Хотя если вирус работает и вставлена флэшка, там тоже все шифруется...

Саня, не вирус это, обичный таки жабаскрипт запускающий gpg шифрующий файлики с популярными расширениями.

RSA с ключом 2048бит

Хммм, помоему я ляпнул херню.

А что не так?

Gosti писал(а):

RSA с ключом 2048бит

Хммм, помоему я ляпнул херню.

Возможно ))) там 128 или 256 скорее всего, но устойчивый.

Могли использовать любой длины - обычно шифруются документы, а у них небольшой размер, можно и 2048, особенно на шустрых машинах. Но конечно короче - быстрее.

Есть выход!
Я уже 4 компа восстановил... Там есть два обязательных... Чтобы все расшифровать... На двух компьютерах не получилось правда!

Senator_I писал(а):Здра1021fd0dfba9f98d8e59dcb1c0b1f3dcвствуйте. Хотели бы наce6d45d9a33c03baabe28f412894215cпомнить, что в соответствии с условиями действующего договора24d52cbc808288dcf688f4e8282491d4 Вы должны оплаdee9d1fc54770da593140e74608231feтить октябрьскую поста2dd5bee000206404e2b72e61254c0e78вку товаb8c87a912b9ac98fdde6d804d6b342bdров в течение пяти ба2f5d34efc62cc333f60cffeb8ca7e216нковских дней - ска118cca7a8a22663e0daa78b838b60c94н-копии счетов (см. в приложении). Ожидаe71cfac38534db6ca878d8e1a856f286ем добросовестного выполнения обязаb78dea852b60de3d9b33728a30ad9a10тельств с Ва901e34bca55c6bbe52af85208d3ce512шей стороны.

Может это ключ?