Дополнительное расширение *.keybtc@gmail_com к зашифрованным файлам добавляют модификации BAT.Encoder.23 Их распространение началось 06.08.2014
Расшифровка крайне маловероятна: для расшифровки в общем случае нужна утечка приватной части мастер-ключа. Существует небольшой шанс на сохранность файлов secring.* от трояна, тогда можно будет расшифровать файлы на одной машине.
Если вы хотите попытать счастья с расшифровкой — присылайте в техподдержку Dr.Web образец зашифрованного файла, файл key.private и все файлы secring.* Из первых 10 заявок в одном случае расшифровка оказалась возможной.
Во второй модификации используется другой ключ, BAT-файл обфусцирован и для контроля повторного запуска используется файл %temp%\crypti.bin
ID мастер ключей — A3CE7DBE и AAB62875
Так что же делать простому обывателю, словившему этот вирус? Просто затирать всю информацию на компе?
Читать внимательно написанное. А также https://vmartyanov.ru/encrypted-files-what-to-do/ и https://vmartyanov.ru/faq/
Как избавиться от повторного заражения после восстановления файлов?
В описании модификации keybtc и в описании самого BAT.Encoder.23 указаны именя файлов для предотвращения запуска трояна.
А можно не предотвращать повторный запуск, а удалить вирус вообще? Возможен ли перехват антивирусом при запуске зараженного файла, так как пользователей на сервере много и вероятность запуска зараженных файлов велика?
Все известные версии этой заразы мы детектим. Дальше уже все зависит от настроек АВ, но словиться должен, я думаю. А вообще вы смотрите в неправильную сторону: вам нужно грамотное резервное копирование.
Безусловно, я думал о копировании. Заражению был подвергнут терминальный сервер, расположенный в дата центре. На нем расположено около 30 пользователей. Информация крайне важна. Какую правильную последовательность действий предпринять, для восстановления информации и исключения продолжения заражения? Отключать от инета нельзя, так как лишимся доступа к серверу. Заражению подверглись данные 2-х пользователей. Важно не заразить другие файлы. Используется Windows Server 2008 R2.
Все про восстановление написано в описании модификации. Резервное копирование спасет вас.
Вопрос следующего характера —
не знаете ли Вы, реально ли они после оплаты высылают ключ?
Бэкапов айтишник не делал, за что ему увольнение выписано уже, но файлы-то нужны. Думаю, может, заплатить.
Но на деньги попасть не охота
Я держал в руках только один ключ, полученный от авторов трояна. Так что статистики у меня просто нет. Пробуйте писать им с разных адресов, цена может сильно отличаться.
Как узнать ID моего ключа шифрования?
2 способа: читать документацию по GPG и пробовать или отправить файло к нам.
Добрый день. У меня такая же проблема. Доктор Веб делает услугу по расшифровке только для своих клиентов, а у меня стоит др. антивирусник. Подскажите вы можете мне помочь?
Не могу. Обращайтесь в техподдержку вашего антивируса, они все равно наверняка используют результаты нашей работы.
День добрый спешу поделится своим опытом по данной проблеме. После того как написал пустое письмо на почту keybtc@gmail_com мне пришел ответ с инстукцией и счетом в размере 0.26499 BTC. В ответ направил свои KEY.PRIVATE и UNIQUE.PRIVATE и двай закодированных файла для тестовой разкодировки. Часа через 3 пришли два разкодированных файла. Отправил тоже самое с другими двумя файлами. Еще раз пришли разкодированные файлы… написал в общей сложности порядка 6 писем всегда приходили разшифрованные файлы только если она в расширении word или jpg. Правда менялась сумма счета, не принципиально, но в большую сторону. Далее отправил письмо с новыми jpg файлами с другого e-mail и о чудо в ответ пришло «Дай Бог Вам и Вашей семье здоровья. Дешифрование бесплатно предоставим» через час пришло ПО и Ключ. Всем удачи пробуйте не отчаивайтесь.
Вот жеж!
У кого нибудь получилось провернуть ту же операцию?
я попробовал с другой почты и вот что пришло в ответ:
Здравствуйте. Вы уже обращались к нам ранее. Системой был рассмотрен вопрос повторной тестовой дешифровки. Заявка отклонена.
Весь процесс происходит в автоматическом режиме.
Копия инструкции — во вложении. Обратите внимание, .xls файлы и базы данных робот тестово не дешифрует по понятным причинам
С уважением
Блог. Ответы на вопросы: http://apps.plushev.com/2014/08/14/2829/
А если есть 2 файла- зашифрованный и незашифрованный (из бэкапа), то можно как-нить вычислить ключ?
Нет. Об этом написано в FAQ.
Я конечно не спец в области криптографии, но со стороны это кажется невероятным. Если имеются все компоненты (зашифрованный и незашифрованный файл; программа, которая использовалась для шифрования — GPG; алгоритм, которым шифровали файлы — RSA; публичный ключ, которым шифровали файлы — pubring.gpg) кроме одного (секретного ключа для расшифровки), то неужели не существует алгоритма для вычисления этого секретного ключа? Это же уравнение с одним неизвестным.
Два неизвестных: x*y = 31415926… и еще пара сотен цифр.
Извиняюсь за глупый вопрос, но что в данной ситуации нам еще неизвестно кроме секретного ключа?
Да, пожалуй, все известно.
Тогда что нам мешает вычислить этот ключ, если все остальное известно?
Мешает какое-то фундаментальное свойство математики: перемножить два больших числа очень просто, а вот найти множители по произведению — крайне сложно. Математики такую вот свинью подложили.
Владимир, добрый день! На форуме доктора вэба вы писали:
Тоже поймал keybtc@gmail_com
Прошу не пинать, впервые столкнулись с этим вирусом, и хотелось бы попросить decode
Берется тут: https://www.gnupg.org/ и совершенно бесплатно!
Что необходимо взять с указанного Вами сайта, чтобы можно было расшифровать данные или все таки это невозможно?
Сам GPG и нужен. Для винды — gpg4win