Форум 3DNews
Вернуться   Форум 3DNews > Интернет > Информационная безопасность, защита от вирусов

Ответ Создать новую тему
Опции темы Опции просмотра
Непрочитано 24.08.2014, 17:23   [включить плавающее окно]   #1
Школа Москва
Мужской Новенький
Автор темы
 
Регистрация: 24.08.2014
Адрес: Москва
Шифровальщик keybtc - как были расшифрованы школьные документы.

Здравствуйте!

Пишу от имени одной Московской школы, по понятным причинам номер не указываю.

Небольшая информация, как создатели keybtc пошли на встречу и для школы бесплатно прислали дешифратор, скриншоты переписки прилагаются.

Сообщение.

Недавно мы стали жертвой вируса "keybtc". На одном из компьютеров школы были зашифрованы все документы, связанные с работой школы и прикрепленных детских садов, вся документация. Это расширения doc, docx, xls, xlsx, pdf, и все картинки и фотографии. Это примерно несколько тысяч файлов.

Произошло это 11 августа, и сразу после этого обнаружили на рабочем столе текстовый файл с инструкцией, что мы стали жертвой вируса и все файлы зашифрованы. В инструкции было описание куда и как перечислить деньги, чтобы получить дешифратор. В конце инструкции была приписка - "Процесс шифрования закончен: 11.08.2014 / 13:55".

Мы обратились в одну известную антивирусную лабораторию, создали заявку, прислали все файлы и всю информацию, которую они запросили. Через несколько дней пришел ответ, что у них пока нет дешифратора, что в вирусе используется криптостойкий алгоритм шифрования, и чтобы мы следили за их новостями, когда появится ключ.

Мы уже не знали что делать.

Решили попробовать написать на емайл, который был указан в инструкции - keybtc@gmail.com
Отправили два файла ключа, которые тоже появились одновременно с инструкцией, это "KEY.PRIVATE" и "UNIQUE.PRIVATE".
Судя по описанию, это необходимые файлы для расшифровки документов.

Текст письма был следующий:
"Здравствуйте!

Обращается к Вам школа №***, просим дешифратор, спасибо!
Все нужные файлы приложили.".

Ответа сперва не было.
Решили написать через крипто-систему Bitmessage на их адрес, который был указан в инструкции.

Мы уже не надеялись на ответ. Буквально через несколько минут от них пришел ответ.

Переписка была следующая:
- Мы: Здравствуйте! Обращается к Вам школа №***, просим дешифратор, спасибо!

- Они: Отправьте заявку с почты.

- Мы: Писали на keybtc@gmail.com, ответа не было, по инструкции написали сюда. Сейчас еще напишем.

- Они: Все доказательства прикрепляйте сразу

(После этого мы еще раз отправили письмо и приложили три зашифрованных документа.)

- Мы: Спасибо большое! Дешифратор по почте получили, утром запустим на компьютере в школе, отзывы напишем! Спасибо!

Переписывались с ними ночью. Они пошли нам на встречу и бесплатно прислали дешифратор уже через несколько минут после переписки.

Пришло два письма, одно с ответом, другое с дешифратором.

********************
Письмо 1:
Здравствуйте. Был выполнен анализ Вашего компьютера (id: 28BC91F0)

Дата шифрования: 2014-08-11
Количество файлов: 7455
Сгенерированный счет: 1AbaXwJn67sgpuQG5Dk6TnF6ovBgj97SWc
Стоимость: 0.0000000 BTC
********************

Письмо 2:
Во вложении находился сам файл дешифратор.
********************

Днем на школьном компьютере запустили дешифратор и через, примерно полчаса, все документы были расшифрованы!

Скриншоты переписок можно просмотреть здесь:
http://s019.radikal.ru/i631/1408/3d/64ef6b916f7c.jpg
http://s020.radikal.ru/i703/1408/ac/3064910538c1.jpg
http://s017.radikal.ru/i405/1408/36/12483bf4b039.jpg
http://s017.radikal.ru/i442/1408/96/6d589a37918d.jpg

Хотим поблагодарить их за то, что они пошли нам на встречу и для школы бесплатно прислали дешифратор.
Как и обещали, написали отзыв.
Спасибо!

--
С уважением,
Московская школа №*** (номер по понятным причинам не указываем).
Школа Москва вне форума  
Ответить с цитированием
Непрочитано 24.08.2014, 19:46   [включить плавающее окно]   #2
DarkJoney
Мужской Абсолютный
 
Регистрация: 07.10.2010
Дайте угадаю, антивирус Аваст или *любой просроченный платный* с базами n-давности и сеть без фильтрации сайтов?
И будь я вами, я бы не стал их благодарить.

Последний раз редактировалось DarkJoney; 24.08.2014 в 19:48.
DarkJoney вне форума  
Ответить с цитированием
Непрочитано 24.08.2014, 23:00   [включить плавающее окно]   #3
Школа Москва
Мужской Новенький
Автор темы
 
Регистрация: 24.08.2014
Адрес: Москва
Цитата (DarkJoney) »
Дайте угадаю, антивирус Аваст или *любой просроченный платный* с базами n-давности и сеть без фильтрации сайтов?
И будь я вами, я бы не стал их благодарить.
Извините, не соглашусь с Вами, мы просто благодарны, что они откликнулись на нашу просьбу, у нас была зашифрована вся рабочая документация по школе. Они просто по человечески к нам отнеслись.
Школа Москва вне форума  
Ответить с цитированием
Непрочитано 24.08.2014, 23:54   [включить плавающее окно]   #4
garniv
Мужской Модератор
 
Аватар для garniv
 
Регистрация: 29.06.2004
Считайте их Робингудами
garniv вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 25.08.2014, 07:41   [включить плавающее окно]   #5
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
у нас была зашифрована вся рабочая документация по школе. Они просто по человечески к нам отнеслись.
Ага, как тот бандит, что шарахнул кистенём по башке и отнял деньги; а уже потом, после слёз и причитаний, так и быть - сжалился и вернул отобранные деньги...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 25.08.2014, 14:25   [включить плавающее окно]   #6
DarkJoney
Мужской Абсолютный
 
Регистрация: 07.10.2010
Они просто по человечески к нам отнеслись.
Они и так нелюди, из-за того что разрабатывают подобный "софт"
DarkJoney вне форума  
Ответить с цитированием
Непрочитано 25.08.2014, 19:49   [включить плавающее окно]   #7
Panzern_Kaiser
Мужской Запрещенный
 
Регистрация: 19.07.2012
Адрес: Астрал
Есть возможность восстановить такие файлы с хдд или носителя на котором они располагались. ибо вирус шифрует копии файлов а оригиналы удаляет. Расшифровать ясно понятно не возможно зашифрованные копии. А вот восстановить удаленные оригиналы - вполне реально. Хард не подвергается даже форматированию или многократной перезаписи под воздействием вируса.

Добавлено через 1 минуту

Цитата (Smirnoff) »
Ага, как тот бандит, что шарахнул кистенём по башке и отнял деньги; а уже потом, после слёз и причитаний, так и быть - сжалился и вернул отобранные деньги...
+100500

Добавлено через 4 минуты

Школа Москва
я бы вместо спасибо обратился в полицию, еще до того как прислали ключи. Дабы сотрудники с соответствующими тех навыками могли "вычислить" и попытаться задержать нарушителей или хотя бы того, кто выходил на связь. Сознательная порча школьной документации - это уголовное дело.

Последний раз редактировалось Panzern_Kaiser; 25.08.2014 в 19:51.
Panzern_Kaiser вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 25.08.2014, 20:14   [включить плавающее окно]   #8
garniv
Мужской Модератор
 
Аватар для garniv
 
Регистрация: 29.06.2004
Дабы сотрудники с соответствующими тех навыками могли "вычислить" и попытаться задержать нарушителей
такие сотрудники полиции не обслуживают простых смертных... А те которые работают с населением - нифига в этом не понимают.
garniv вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 25.08.2014, 20:23   [включить плавающее окно]   #9
Panzern_Kaiser
Мужской Запрещенный
 
Регистрация: 19.07.2012
Адрес: Астрал
Цитата (garniv) »
такие сотрудники полиции не обслуживают простых смертных...
Есть люди занимающиеся ИТбезопасностью и в НИИ и в просто в институтах. Про нашу полицию к сожалению я тоже не лучшего мнения
Panzern_Kaiser вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 25.08.2014, 21:02   [включить плавающее окно]   #10
Злой Геймер
Мужской Абсолютный
 
Аватар для Злой Геймер
 
Регистрация: 28.06.2010
Адрес: Гандурас
Такое впечатление что в этой школе всеми вопросами компьютерной безопасности занимается завхоз.
Злой Геймер вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 25.08.2014, 21:18   [включить плавающее окно]   #11
Полковник Исаев
Мужской Недосягаемый
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
Цитата (garniv) »
такие сотрудники полиции не обслуживают простых смертных... А те которые работают с населением - нифига в этом не понимают.
Увы, но факт. Тоже самое творится во всех силовых структурах и органах безопасности. Есть отличные спецы, но на вес золота, да и бюрократия мешает их работе.
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 25.08.2014, 21:37   [включить плавающее окно]   #12
Ariny
Женский Супер модератор
 
Аватар для Ariny
 
Регистрация: 21.04.2004
Адрес: Московская область
По-моему, тема - это просто призыв платить вымогателям...
https://www.google.ru/search?client=...est&gws_rd=ssl - многовато спама для завхоза.
__________________
Veo voto.

Последний раз редактировалось Ariny; 25.08.2014 в 21:40.
Ariny вне форума  
Ответить с цитированием
Непрочитано 25.08.2014, 22:07   [включить плавающее окно]   #13
Злой Геймер
Мужской Абсолютный
 
Аватар для Злой Геймер
 
Регистрация: 28.06.2010
Адрес: Гандурас
Вообще дурацкая тема, сам стиль составления первого поста соответствует больше ученику 4го класса, нежели взрослому человеку или скажем тому же школьному учителю информатики, который часто совмещает и должность сисадмина.

Последний раз редактировалось Злой Геймер; 25.08.2014 в 22:11.
Злой Геймер вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 25.08.2014, 23:19   [включить плавающее окно]   #14
DarkJoney
Мужской Абсолютный
 
Регистрация: 07.10.2010
Злой Геймер
Я когда учился, я был правой рукой учителя информатики. Все ПК в школе более 5 лет держались на мне.
DarkJoney вне форума  
Ответить с цитированием
Непрочитано 26.08.2014, 06:27   [включить плавающее окно]   #15
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (Ariny) »
тема - это просто призыв платить вымогателям...
Пожалуй что так и есть; тогда надо бы её - того-с...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 26.08.2014, 10:39   [включить плавающее окно]   #16
Panzern_Kaiser
Мужской Запрещенный
 
Регистрация: 19.07.2012
Адрес: Астрал
Хотим поблагодарить их за то, что они пошли нам на встречу и для школы бесплатно прислали дешифратор.
Как и обещали, написали отзыв.
Спасибо!
--
С уважением,
Московская школа №*** (номер по понятным причинам не указываем).
кому обещали, - преступникам, о том какие те хорошие?
а что бы и не указать то? да такие в милицию сами не пойдут. такие от милиции сами прячутся. Видать косяков в школьной документации было выше крыши. бабло то небось подворовывали

Добавлено через 12 секунд

и еще куча непоняток
Panzern_Kaiser вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 01.09.2014, 07:12   [включить плавающее окно]   #17
Liet
Мужской Новенький
 
Регистрация: 01.09.2014
Также файлы подверглись шифрованию по глупости знакомой - попросила открыть договор, мол, не получается. В итоге пострадала и она, и я. Не делай добра - не получишь зла. Не знаю, что она будет теперь прeдпринимать. У меня пострадал домашний комп, на котором были также рабочие файлы, которые хрен восстановишь.
Лично у меня следующая ситуация - 2 детей, старшему 3 года - инвалидность, на реабилитацию уходит куча сил и денег. Благодарен, что прислали дешифратор бесплатно. Эпопея длилась около недели, перенервничал, уже хотел матерное письмо писать)
Бизнес я такой не одобряю, однако ж у нас в России много всяких интересных бизнесов и ничего...

http://s017.radikal.ru/i435/1409/78/59a2781769db.jpg
http://s40.radikal.ru/i089/1409/eb/6d61502f334d.jpg

Последний раз редактировалось Liet; 01.09.2014 в 07:42.
Liet вне форума  
Ответить с цитированием
Непрочитано 01.09.2014, 10:40   [включить плавающее окно]   #18
Panzern_Kaiser
Мужской Запрещенный
 
Регистрация: 19.07.2012
Адрес: Астрал
Liet
НУ прямо робингуды матих. вообще можно обратится за помощью к антивирусным лабораториям
2) попробовать восстановить удаленные оригиналы файлов
Panzern_Kaiser вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 05.09.2014, 11:36   [включить плавающее окно]   #19
Евгений_С
Мужской Новенький
 
Регистрация: 05.09.2014
Адрес: Москва
Доблестные негодяи

У нашей бухгалтерии льгот по расшифровке не было. Поэтому пришлось заплатить преступникам около 300 евро...
Заявление в полицию после получения ключа все равно подали. Посмотрим, чем все закончится

Забавно и то, что хаккеры нам предложили перевести сумму в 20 раз больше (6 000 евро примерно) в пользу детского дома. Но таких денег мы бы просто физически не собрали...

Доблестные или не доблестные. В любом случае, преступники. И тюрьма по ним плачет
Евгений_С вне форума  
Ответить с цитированием
Непрочитано 05.09.2014, 12:40   [включить плавающее окно]   #20
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
У нашей бухгалтерии льгот по расшифровке не было. Поэтому пришлось заплатить преступникам около 300 евро...
А у моих клиентов просто все нужные папки на сервере бэкапятся; так что уже второй раз (в мае с.г., и вчера) распаковываю им из бэкапов всё зашифрованное; ни одна проводка не пострадала...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Ответ Создать новую тему

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 07:23. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot
Copyright © 2000-2017 3DNews. All Rights Reserved.
Администрация 3DNews требует соблюдения на форуме правил и законов РФ
Серверы размещены в Hostkey