vmartyanov.ru

*.paycrypt@gmail_com

Расширение *.paycrypt@gmail_com к зашифрованным файлам добавляет модификация BAT.Encoder.2 или BAT.Encoder.23

Существует несколько вариантов трояна с таким добавочным расширением, которые отличаются используемыми мастер-ключами:

  • F107EA9F/E578490A (есть расшифровка)
  • F05CF9EE/3ED78E85 (нет расшифровки)

У нас в Dr.Web есть расшифровка после некоторых модификаций при наличии файла key.private

Post navigation

17 comments for “*.paycrypt@gmail_com

  1. akifevrv
    21.07.2014 at 15:36

    «Расшифровка: возможна для некоторых вариантов, которые идентифицируются по ID ключа:..,»

    как узнать ID ключа?

  2. Гамид
    01.08.2014 at 16:36

    вы ссылку на статью дайте что ли или инструкция как узнать ID ключа и что с ним можно делать дальше

    • 01.08.2014 at 16:37

      Документация лежит в открытом доступе. Если вы не хотите ее читать — обращайтесь к специалистам. Они ее прочитали и умеют работать с нужным софтом.

  3. Владислав
    04.08.2014 at 12:54

    Здравствуйте. У меня при попытки дешифровать файл выдаёт ID 3A622F56. Мне удалось восстановить почти все исходники, в том числе файлы genkey и secrypt, я вставил этот ключ (secrypt) в программу GPG4win, а там выдаётся ID 3ED78E85 (Name: HckTeam, e-mail: paycrypt@gmail.com, ValidFrom: 2014-06-28). Если надо, могу скинуть всё что я нашёл, пока мне не удалось что-нибудь восстановить, может вы что подскажете. Спасибо.

  4. Владислав
    04.08.2014 at 16:42

    Нет, я всё правильно сделал. Я изучил исходник, он импортирует файл secrypt, шифрует им файл secring.gpg, модифицирует его и потом переименовывает в key.private, а ключ из gnupg удаляет. Потом импортирует новый ключ «pubring.gpg» и им шифрует файлы. Вот этот ключ pubring.gpg я и не смог найти. А вот первый у меня есть, вот думаю может как-то можно расшифровать файл key.private, вдруг кто сталкивался

    • 04.08.2014 at 16:46

      Однако же ID ключа для расшифровки key.private вы еще не нашли, а это первое и самое важное действие для расшифровки 😉

  5. Александр
    01.10.2014 at 12:49

    Помогите пожалуйста расшифровать файлы paycrypt@gmail_com….

  6. GreenRain
    13.10.2014 at 00:00

    У этих троянов 2 слабых места:
    1) исходные файлы не затираются, а удаляются командой del, поэтому их можно найти сканированием диска в режиме «Raw Recovery» (с потерей имен файлов и при условии, что файлы не фрагментированы);

    2) секретный ключ secring.gpg остается на диске, несмотря на все попытки его стереть, даже по окончании деятельности трояна, и может быть найден сканированием диска.

    Так произошло на тестовом виртуальном компьютере, теперь проверю реально атакованный трояном компьютер.

  7. del
    13.10.2014 at 15:18

    Сегодня на работе столкнулся с этим вирусом. Хорошо вовремя нашел комп зараженный и отключил его от лок.сети.
    Все файлы с расширением имя_файла.расширение_его.paycrypt@gmail_com (пример, счет.jpg.paycrypt@gmail_com).
    Стирал «.paycrypt@gmail_com» не открывается, пишет «просмотр не доступен». Как правильно его лечить? Нашел еще от вируса файлы key.private. Что с ними делать?

  8. st1ng
    27.11.2014 at 13:32

    Владимир, день добрый?
    Как обстоит ситуация с ключем F05CF9EE? Есть какие нибудь новости?

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *