gifts2017

Дешифратор файлов баз данных

Опубликовал Алексей Дятко (masspi) в раздел Администрирование - Системное

В последнее время распостранились случаи, когда на сервера попадают интересные вирусы которые блокируют(шифруют) базы данных. Прошу вашему вниманию "дескриптор", который помогает справиться с этой проблемой.  

В последнее время распостранились случаи, когда на сервера попадают интересные вирусы которые блокируют(шифруют) базы данных. Прошу вашему вниманию "дескриптор", который помогает справиться с этой проблемой.  

Скачать файлы

Наименование Файл Версия Размер
Дискриптор 59
.rar 192,84Kb
03.04.13
59
.rar 192,84Kb Скачать

См. также

Подписаться Добавить вознаграждение
Комментарии
1. Юрий Осипов (yuraos) 03.04.13 13:37
ЭХ!
ЛЮБЛЮ Я ЗАПИСЫВАТЬ ПЕРВЫЕ ПОСТЫ К СТАТЬЯМ!!!

А ПОЧЕМУ ???
----------------------------------------------------
А ПОТОМУ, ЧТО:
1) Можно смайлов в пост навставлять (другого способа на Инфостарте я не нашел).
2) По спаму рассылаемому сайтом по почте можно подумать - что Я АВТОР ПУБЛИКАЦИИ.
:D :idea: :?: :!: ;) :evil: :cry: :oops: :{} 8-) :o :( :) :|
----------------------------------------------------
а на будущее - изменять первый пост со смайлами не советую,
красота проподает - смайлики не отображаются.
2. Юрий Осипов (yuraos) 03.04.13 13:37
(0) masspi,
а не ты ли эти вирусы распространяешь?
:)
3. Алексей Дятко (masspi) 03.04.13 14:14
(2) yuraos, Сегодня у заказчика боролся с этой проблемой, вот и решил поделиться с другими. Если бы сам рассылал, то смысл мне выкладывать метод борьбы))). А вообще тот кто этот вирус распостраняет потом требует перевести ему 10000 р. за расшифровку.
4. Юрий Осипов (yuraos) 03.04.13 14:23
(3) masspi,
нда ... круто!
за разблокировку винды, якобы заблокированной микрософтом
за просмотр порнографических материалов
просят только 1000р.

а перевести просят тоже на сот.телефон ???
5. Алексей Дятко (masspi) 03.04.13 14:29
(4) yuraos, Немного поясню как это происходит. Юзер запускает некий файл. Далее запускается прога которая шифрует данные и по завершению сама себя удаляет. А данные зашифрованы. Далее ни антивир, ни что либо другое не находит и следа. Если нужна более точная инфа, то можешь прогуглить адрес: unblocking666@gmail.com
6. Yuriy Rozmyslov (Squisher) 03.04.13 14:59
Не имея кода для конкретного компьютера, всего лишь бесполезная софтина.
7. Юрий Осипов (yuraos) 03.04.13 15:00
(5) masspi,
да я примерно о том же, но под другим соусом,
и с другими расценками!
:)
в позапрошлую субботу моя жена
скачала какой-то халявный учебник в виде архива.
в архиве экзэшник, после запуска которого
на компе выводится сообщение, вроде этого:
"Микрософт скьюрити эссеншуалс зарегистрировала
с вашего компа доступ к порнографическим материалам,
распространяющим педофилию.
В связи с чем ваша копия Виндоус была заблокирова.
Для разблокировки требуется перечислить 1000р.
на телефон 8-nnn-nn-nn и получить сэмээской разблокировочный код"
8. Юрий Осипов (yuraos) 03.04.13 15:03
(7)
троян крепко прописывается в авторанах
лечится только чисткой реестра
в режиме совместимости с командной строкой.

пришлось по мобильнику со своим ОДМИНОМ
связаться и под его мудрым руководством
выковыривать троян с компа.
9. Алексей Дятко (masspi) 03.04.13 15:15
(6) Squisher, Код отражается в сообщении которое выводится. Само сообщение я привел в изображении.
10. Алексей Дятко (masspi) 03.04.13 15:19
(8) yuraos, В данном случае трояны все удаляются после шифрования. Остается только в автозагрузке вызов файла *txt. При этом все браузеры работают. Не работают только базы данных. Причем это могут быть базы 1с, access, firebird и т.д.
11. Андрей 1 (Andrey2682) 03.04.13 16:59
Не имеет смысла скачивать, он только для того компьютера у которого ключ указан на скриншоте
12. Александр Зубарь (azubar) 03.04.13 17:03
Этот дешифратор только для того компа для которого его купили, если попробовать на другом компьютере то просто угробите зашифрованные файлы.
13. Алексей Дятко (masspi) 03.04.13 17:37
(11) Andrey2682, Я сделал скриншот с компа который вылечил этой программой. Ее никто не покупал. И комп он не убил. Если необходимо то можно к примеру скачать архив, если нет возможности, то вышлю на мыло. В архиве другой ключ, под который она якобы покупалась, но сработала и на другом компе. Если есть сомнения,по поводу работы проги, всегда можно сделать образ интересующих файлов. Ну или платить деньги(где-то 10000р), чтобы Вам точно выслали прогу под Ваш комп. Кстати пробовал ее на сервере 2008.
14. Александр Зубарь (azubar) 03.04.13 17:42
(13) так об этом надо писать, в теле статьи, причем красненьким, что используя этот криптор и не имея бекапа зашифрованных файлов можно погубить файлы, сейчас ломанутся качать, начнут пробовать, а потом хрен восстановят даже если заплатят вымогателям.
З.Ы. у меня этот декриптор ничего не расшифровал, только файлы погробил, благо не бекапе пробовал.
15. Алексей Дятко (masspi) 03.04.13 18:29
(14) azubar, Дешифратор к железу не привязан, а првязан к коду, который внизу текстового файла. Для каждого компа этот код разный. Его (код) образует именно тот вредноносный шифратор, который самораспаковывается и потом удаляется и который создает данный *txt с кодом. Просто проги из одной оперы, т.е сама шифрует(или такая же) и сама же расшифровывает.если другой шифратор,может и не сработать. Т.е. при возникновении данной ситуации, когда комп показывает данное сообщение и адрес для расшифровки unblocking666@gmail.com или unblocking@tormail.org то эта прога работает нормально. Статья предназначена для тех кто сталкнется со столь нехорошим случаем.
16. Dmitriy Tseykinskiy (realzika) 04.04.13 04:18
Ту тс - а можете выслать дешифровщик на мой мэйл zika@"тожесамое".pp.ru
случай явно тот же
17. valery (valery_ok) 04.04.13 08:12
Все что было описано выше относится к шифровальщику первого поколения, который лечился утилитами от касперского и веба.
Мы поймали, вернее у нас юзер поймал вирус похлеще с алгоритмом rca1024, его еще не лечит никто.
проникает через порт 3389 на терминальный сервер с правами пользователя используя дырки необновленной явы шифрует все локальные и сетевые папки в которые есть права на запись. Причем антивирусы с актуальными базами его не видят.
итог - около 100000 зашифрованных файлов - документы, ахивы, базы данных, картинки, медиафайлы и т.д.
запросили 80 евро, прислали дешифровщик (т.е. повели себя как бизнесмены).
антивирус на него ругается как на модифицированный троян.
была создана виртуальная машина без сетевого доступа, в нее были помещены все зашифрованные файлы.
некоторые пришлось проходить несколько раз (видимо шифровщик делал несколько заходов).
расшифровалось все кроме самой большой бух. базы 1.1 гб.
в которой был сверстан годовой баланс и перенесен и сверен последний месяц текущих документов относительно последнего имеющегося архива. (буквально за день до события).
как оказалось большие файли шифруются не полностью.
восстановить удалось заменив около 90-96 мегабайт наложением в Нех редакторе из архивной базы методом подбора и последующей проверки базы утилитами 1с и в конфигураторе.
итог:
1. обновлять ПО сервера и особенно явы
2. не использовать дефаултный терминальный порт 3389
3. полный бекап всего каждый день, а критических данных чаще.
4. жесткая политика паролей пользователей.
18. Алексей Опарихин (Al-X) 04.04.13 09:43
(15) masspi, Отчасти верно !! Дешифратор не привязан к компу. Привязка идет к коду. Если тупа ввести код из файла РАСШИФРОВКА.txt, то файлы будут расшифрованы по 16 кб. Т.е. первые 16 - останутся зашифрованы, дальше 16 - расшифровывается нормально, потом 16 - зашифровано, 16 - нормально !!
На форумах говориться, что через каждые 16 кб меняется первый символ.... но пока полного дешифратора нет !!!
Люди платят по 10 000 руб !!! Другие пока исследуют !!! Надеюсь на появление универсального дешифратора.
19. Алексей Опарихин (Al-X) 04.04.13 09:48
(17) valery_ok,
итог:
1. обновлять ПО сервера и особенно явы
2. не использовать дефаултный терминальный порт 3389
3. полный бекап всего каждый день, а критических данных чаще.
4. жесткая политика паролей пользователей.

ЭТО БЫЛ БЫ ИДЕАЛ !!!
Я пока таких админов не встречал !! :(
Может по этому дважды за год столкнулся с такой гадостью !!!
20. valery (valery_ok) 04.04.13 09:51
(18) в нашем случае одна часть ключа представляла вот такой код:
====================
821C6740AA8E474CF41F2249EB8BFD89501B43135002DFC24DE8A4CE09FD­F645
F862D956D725CCF09EB7B08E31A44B8252A3FBE09F0BD80594E68C2805AF­F144
6574C36BC935F7F3084257EF79E1E050E024BDC47094025CDB81877CD313­02D6
5E9D1531CD6414010C8EE603913CB4BB0F26BF54F4A5093D2D962E14A2FE­135E
1741505F4B5443841526CCB55559F6E3D93738FFBD05E19CD775D3F84BB9­BB43
====================
вторая часть находится у злодея, пока что я не знаю способа расшифровать rca1024 и думаю никто не знает.
21. Алексей Опарихин (Al-X) 04.04.13 10:26
Вот на форуме Касперского один чел пишет:
Файл, действительно, кодируется блоками по 16Кб (16384 байт)

- для нечетных блоков, т.е. для 1,3,5,7... блоков по 16Кб и т.д. как раз нужен ключ (который присылают) - в этом еще надо покопаться
- для четных блоков ни какой ключ не нужен вообще. дешифратор элементарно отнимает от закодированного значения цифру 0x40

например:
- код символа "пробел" равен 0x20
- код символа "ноль" равен 0x30

так вот. в зашифрованном файле они выглядят как 0x60 и 0x70 соответственно.

итого еще раз (дабы не сбиться с мысли):
т.е. БЕЗ РАЗНИЦЫ какой код вводить, для ЧЕТНЫХ блоков дешифратор просто минусует от каждого байта значение 40 (попробуйте сами. просто введите код 123456 и увидете тот же результат как "считалось" ранее что нужен код из текстового файла Расшифровка.txt) - он скорее всего нужен для других целей


Самое обидное, все антивирусные компании молчат. А в Eset напрямую написали: "Что наш антивирус не занимается расшифровкой. И только для корпоративных клиентов мы предоставляем возможные варианты расшифровки."
22. Dmitriy Tseykinskiy (realzika) 04.04.13 13:37
скачал архив по предложенной автором методике не расшифровывает даже им приложенные файлы...
23. Алекс Ю (AlexO) 08.04.13 14:18
я не ошибусь, если автор выложил тут дешифровщик от ДрВеба?
"Сам написал" - сомнителньо зело :)
24. Алекс Ю (AlexO) 08.04.13 14:20
и потом, причем тут "дешифровщик" баз?
это защита от вирусов, а шифруются все файлы поголовно.
Вообще - это в лайф.
25. Саша Кондратьев (nerrin) 23.02.15 19:13
(13) masspi, у вас остался еще дешифратор? если да то пришлите пожалуйста на le_brave@mail.ru
26. Александр Журавлев (apostal86) 08.10.15 13:36
Мне помогло зашифрованный файл базы .CD до расширения .cbf расшифровать утилитой chdbfl.exe. Стер в наименовании все лишнее у зашифрованного файла. Прошелся утилитой. Дополнительно тестирование и исправление базы - база рабочая. В инете пишут, что может и не помочь.