vmartyanov.ru

*.keybtc@gmail_com

Дополнительное расширение *.keybtc@gmail_com к зашифрованным файлам добавляют модификации BAT.Encoder.23 Их распространение началось 06.08.2014

Расшифровка крайне маловероятна: для расшифровки в общем случае нужна утечка приватной части мастер-ключа. Существует небольшой шанс на сохранность файлов secring.* от трояна, тогда можно будет расшифровать файлы на одной машине.

Если вы хотите попытать счастья с расшифровкой — присылайте в техподдержку Dr.Web образец зашифрованного файла, файл key.private и все файлы secring.* Из первых 10 заявок в одном случае расшифровка оказалась возможной.

Во второй модификации используется другой ключ, BAT-файл обфусцирован и для контроля повторного запуска используется файл %temp%\crypti.bin

ID мастер ключей — A3CE7DBE и AAB62875

28 comments for “*.keybtc@gmail_com

  1. Ипполит
    11.08.2014 at 15:02

    Так что же делать простому обывателю, словившему этот вирус? Просто затирать всю информацию на компе?

  2. Сегей
    12.08.2014 at 15:27

    Как избавиться от повторного заражения после восстановления файлов?

    • 12.08.2014 at 15:29

      В описании модификации keybtc и в описании самого BAT.Encoder.23 указаны именя файлов для предотвращения запуска трояна.

  3. Сегей
    12.08.2014 at 15:40

    А можно не предотвращать повторный запуск, а удалить вирус вообще? Возможен ли перехват антивирусом при запуске зараженного файла, так как пользователей на сервере много и вероятность запуска зараженных файлов велика?

    • 12.08.2014 at 15:42

      Все известные версии этой заразы мы детектим. Дальше уже все зависит от настроек АВ, но словиться должен, я думаю. А вообще вы смотрите в неправильную сторону: вам нужно грамотное резервное копирование.

  4. Сегей
    12.08.2014 at 15:49

    Безусловно, я думал о копировании. Заражению был подвергнут терминальный сервер, расположенный в дата центре. На нем расположено около 30 пользователей. Информация крайне важна. Какую правильную последовательность действий предпринять, для восстановления информации и исключения продолжения заражения? Отключать от инета нельзя, так как лишимся доступа к серверу. Заражению подверглись данные 2-х пользователей. Важно не заразить другие файлы. Используется Windows Server 2008 R2.

  5. Соня
    13.08.2014 at 00:56

    Вопрос следующего характера —
    не знаете ли Вы, реально ли они после оплаты высылают ключ?
    Бэкапов айтишник не делал, за что ему увольнение выписано уже, но файлы-то нужны. Думаю, может, заплатить.
    Но на деньги попасть не охота

    • 13.08.2014 at 11:10

      Я держал в руках только один ключ, полученный от авторов трояна. Так что статистики у меня просто нет. Пробуйте писать им с разных адресов, цена может сильно отличаться.

  6. Алексей
    13.08.2014 at 09:59

    Как узнать ID моего ключа шифрования?

  7. Наталья
    13.08.2014 at 13:44

    Добрый день. У меня такая же проблема. Доктор Веб делает услугу по расшифровке только для своих клиентов, а у меня стоит др. антивирусник. Подскажите вы можете мне помочь?

    • 13.08.2014 at 13:45

      Не могу. Обращайтесь в техподдержку вашего антивируса, они все равно наверняка используют результаты нашей работы.

  8. valec88
    13.08.2014 at 17:31

    День добрый спешу поделится своим опытом по данной проблеме. После того как написал пустое письмо на почту keybtc@gmail_com мне пришел ответ с инстукцией и счетом в размере 0.26499 BTC. В ответ направил свои KEY.PRIVATE и UNIQUE.PRIVATE и двай закодированных файла для тестовой разкодировки. Часа через 3 пришли два разкодированных файла. Отправил тоже самое с другими двумя файлами. Еще раз пришли разкодированные файлы… написал в общей сложности порядка 6 писем всегда приходили разшифрованные файлы только если она в расширении word или jpg. Правда менялась сумма счета, не принципиально, но в большую сторону. Далее отправил письмо с новыми jpg файлами с другого e-mail и о чудо в ответ пришло «Дай Бог Вам и Вашей семье здоровья. Дешифрование бесплатно предоставим» через час пришло ПО и Ключ. Всем удачи пробуйте не отчаивайтесь.

  9. Просто Юзер
    14.08.2014 at 19:38

    У кого нибудь получилось провернуть ту же операцию?

  10. Просто Юзер
    14.08.2014 at 19:49

    я попробовал с другой почты и вот что пришло в ответ:

    Здравствуйте. Вы уже обращались к нам ранее. Системой был рассмотрен вопрос повторной тестовой дешифровки. Заявка отклонена.

    Весь процесс происходит в автоматическом режиме.
    Копия инструкции — во вложении. Обратите внимание, .xls файлы и базы данных робот тестово не дешифрует по понятным причинам
    С уважением
    Блог. Ответы на вопросы: http://apps.plushev.com/2014/08/14/2829/

  11. Роман
    09.10.2014 at 16:48

    А если есть 2 файла- зашифрованный и незашифрованный (из бэкапа), то можно как-нить вычислить ключ?

    • 09.10.2014 at 20:21

      Нет. Об этом написано в FAQ.

      • Роман
        14.10.2014 at 11:23

        Я конечно не спец в области криптографии, но со стороны это кажется невероятным. Если имеются все компоненты (зашифрованный и незашифрованный файл; программа, которая использовалась для шифрования — GPG; алгоритм, которым шифровали файлы — RSA; публичный ключ, которым шифровали файлы — pubring.gpg) кроме одного (секретного ключа для расшифровки), то неужели не существует алгоритма для вычисления этого секретного ключа? Это же уравнение с одним неизвестным.

  12. Роман
    16.10.2014 at 11:55

    Извиняюсь за глупый вопрос, но что в данной ситуации нам еще неизвестно кроме секретного ключа?

    • 16.10.2014 at 21:32

      Да, пожалуй, все известно.

      • Роман
        17.10.2014 at 09:46

        Тогда что нам мешает вычислить этот ключ, если все остальное известно?

        • 17.10.2014 at 21:18

          Мешает какое-то фундаментальное свойство математики: перемножить два больших числа очень просто, а вот найти множители по произведению — крайне сложно. Математики такую вот свинью подложили.

  13. Дмитрий
    05.11.2014 at 14:23

    Владимир, добрый день! На форуме доктора вэба вы писали:

    Тоже поймал keybtc@gmail_com
    Прошу не пинать, впервые столкнулись с этим вирусом, и хотелось бы попросить decode
    Берется тут: https://www.gnupg.org/ и совершенно бесплатно!

    Что необходимо взять с указанного Вами сайта, чтобы можно было расшифровать данные или все таки это невозможно?

Добавить комментарий для Ипполит Отменить ответ

Ваш e-mail не будет опубликован. Обязательные поля помечены *