Расширение *.paycrypt@gmail_com к зашифрованным файлам добавляет модификация BAT.Encoder.2 или BAT.Encoder.23
Существует несколько вариантов трояна с таким добавочным расширением, которые отличаются используемыми мастер-ключами:
- F107EA9F/E578490A (есть расшифровка)
- F05CF9EE/3ED78E85 (нет расшифровки)
У нас в Dr.Web есть расшифровка после некоторых модификаций при наличии файла key.private
«Расшифровка: возможна для некоторых вариантов, которые идентифицируются по ID ключа:..,»
как узнать ID ключа?
Об этом написано в документации GPG
akifevrv документацию по GnuPG можете посмотреть здесь http://www.opennet.ru/docs/RUS/gpg_faq/
вы ссылку на статью дайте что ли или инструкция как узнать ID ключа и что с ним можно делать дальше
Документация лежит в открытом доступе. Если вы не хотите ее читать — обращайтесь к специалистам. Они ее прочитали и умеют работать с нужным софтом.
Здравствуйте. У меня при попытки дешифровать файл выдаёт ID 3A622F56. Мне удалось восстановить почти все исходники, в том числе файлы genkey и secrypt, я вставил этот ключ (secrypt) в программу GPG4win, а там выдаётся ID 3ED78E85 (Name: HckTeam, e-mail: , ValidFrom: 2014-06-28). Если надо, могу скинуть всё что я нашёл, пока мне не удалось что-нибудь восстановить, может вы что подскажете. Спасибо.
Это либо новый ключ, либо вы не то что-то делаете. Скорее второе. Почитайте описание схемы трояна.
Нет, я всё правильно сделал. Я изучил исходник, он импортирует файл secrypt, шифрует им файл secring.gpg, модифицирует его и потом переименовывает в key.private, а ключ из gnupg удаляет. Потом импортирует новый ключ «pubring.gpg» и им шифрует файлы. Вот этот ключ pubring.gpg я и не смог найти. А вот первый у меня есть, вот думаю может как-то можно расшифровать файл key.private, вдруг кто сталкивался
Однако же ID ключа для расшифровки key.private вы еще не нашли, а это первое и самое важное действие для расшифровки 😉
Помогите пожалуйста расшифровать файлы paycrypt@gmail_com….
Прочитайте написанное на странице и заодно FAQ
У этих троянов 2 слабых места:
1) исходные файлы не затираются, а удаляются командой del, поэтому их можно найти сканированием диска в режиме «Raw Recovery» (с потерей имен файлов и при условии, что файлы не фрагментированы);
2) секретный ключ secring.gpg остается на диске, несмотря на все попытки его стереть, даже по окончании деятельности трояна, и может быть найден сканированием диска.
Так произошло на тестовом виртуальном компьютере, теперь проверю реально атакованный трояном компьютер.
Вообще там используется sdelete.
Сегодня на работе столкнулся с этим вирусом. Хорошо вовремя нашел комп зараженный и отключил его от лок.сети.
Все файлы с расширением имя_файла.расширение_его.paycrypt@gmail_com (пример, счет.jpg.paycrypt@gmail_com).
Стирал «.paycrypt@gmail_com» не открывается, пишет «просмотр не доступен». Как правильно его лечить? Нашел еще от вируса файлы key.private. Что с ними делать?
Читайте FAQ
Владимир, день добрый?
Как обстоит ситуация с ключем F05CF9EE? Есть какие нибудь новости?
Прочитайте внимательно что написано.