Наш телефон
+7(495)545-56-89
Email: Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.

Добро пожаловать, Гость
Логин: Пароль: Запомнить меня

ТЕМА: Вымогательство денег за расшифровку данных пользователя.

Вымогательство денег за расшифровку данных пользователя. 16 Дек 2014 13:02 #61

Еще один пример:
Письмо с вложением zip архивом, в котором находится
Исх.15.12.2014.doc .cmd
Текст письма.
В соответствии с приказом ФНС РФ № ММВ-7-3/559 от 29.10.2014 направляем вам
оценочный расчет суммы недоимки по налогу на добавленую стоимость и налогу
на прибыль составленный по данным налоговой отчетности вашей организации за
ряд периодов в сопоставлении с информацией о движении по расчетным счетам
и на основании результатов встречных проверок ваших контрагентов по хозяйственным
операциям.
Предлагаем принять меры по уточнению налоговых деклараций. Данный расчет не
является решением о доначислении суммы налогов налогоплатильщику, но служит
основанием для включения вашей организации в план контрольных мероприятий
налогового органа по месту учета.

Информационный центр НАЦ (информационно аналитический центр департамента
методологии налогового администрирования ФНС РФ).

Вот такой оригинальный текст встретился в CMD скрипте с шифровальщиком.
По всей видимости данное послание увидит пользователь после окончания шифрования его данных.
Чип и Дэйл спешат на помощь!

Mолодая mышь-изобретатeль yстановила, чтo вce ваши файлы пoвpедил
сеpый полоcатый кот Толcтопyз. Босс Толстопyз вместе с безумным ученым
Hортоном Нимнулом захватил и зaшифpoвал фaйлы.
Бyрyндyчки Чип и Дэйл, маccивный самец мыши из Австралии Рокфор и
механик Гайка готовы помочь Вам, и спасти Вaши дaнные.

Нам также противостоят кузен Толстопуза Мальтиз де Сад, бездомный кот
по имени Мэпс, ящерица Бородавка и Крот.

Стoимость yслуг спасателей 10000 ру.

Для того чтобы спaсти Ваши дaнныe пришлите Гайке на эллeктронную пoчту

Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.
_________________
1) фaйл, кoтoрый Вы сейчас читаете (! спешим на помощь .tXT). Дaнный фaйл есть в
кaждой диpектории, где имеются зaшифpoвaнные фaйлы. Если в каждой директoрии
несколько фaйлов (! спешим на помощь .tXT), то
пpишлите всe фaйлы (! спешим на помощь .tXT) из однoй любoй директoрии. Во
всех директoриях дaнные фaйлы дублиpуются. В этих фaйлах сoдеpжится kлюч.
Дaнные фaйлы неoбхoдимы для вoсстановления дaнных!
Тaким oбразом, Вaм неoбхoдимо пpислать файл(ы) (! спешим на помощь .tXT) из однoй
любoй диpектoрии.
_________________
2) Oдин любoй зaшифpoваный фaйл небoльшoгo рaзмepa с paсширением *.CHIPDALE

В oтвет нa Вaше письмo пpидeт исxoдный фaйл и инcтpyкция пo уплaте вoзнaгpaждения
спaсателям.
_________________
Пoсле oплaты Вaм пpидет пpoграммa, кoтopaя вaccтaнoвит всe дaнныe нa кoмпьютеpe.

Oтвeт нa Вaше письмo пpидет в тeчeние 1-36 чaсoв.
Еcли oтвет не прихoдит более 24 чacoв - oтпишите на aдрес pезервнoй пoчты Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.
Администратор запретил публиковать записи гостям.

  • Gruch аватар
  • Gruch
  • Вне сайта

Вымогательство денег за расшифровку данных пользователя. 22 Авг 2014 12:58 #56

Здравствуйте. Обращаем Ваше внимание! Наша компания констатирует резко участившиеся за последние месяцы случаи следующего вида мошенничества и вымогательства: по почте пользователю приходит сообщение с совершенно безобидным текстом о том, что некая компания высылает документы (акты, накладные, счета, и т.д., и т.п.) с вложением, запустив которое на компьютере пользователя и подключенных сетевых дисках шифруются все файлы офисных приложений и изображения (doc, xls, docx, xlsx, pdf, jpeg и т.д.). Ключ, необходимый для расшифровки этих данных имеется только у мошенника. Восстановить данные без этого ключа невозможно. После завершения процесса шифрования на рабочем столе пользователя оставляется письмо, которое прилагается в конце данного сообщения. В сообщении вымогаются деньги. К сожалению антивирусные программы в данном случае не помогают, поскольку по сути это не вирус, и пользователь сам запускает данный скрипт из архива, либо из ссылки на сайт мошенников. Вирусы модифицируются, и на момент отправки не детектируются антивирусом. Это семейство вирусов условно можно назвать keybtc или paycrypt. Когда файлы зашифрованы, мы к сожалению бессильны уже чем-то помочь. Единственный способ предохраниться от этого вида мошенничества - резервное копирование. ping-win.ru/ping-win/chto-my-umeem#backup
Общие рабочие файлы и так как правило хранятся на серверах, эти данные резервируются автоматически. Но есть категория данных, которые пользователи считают необходимыми для доступа только им лично, посему хранят их на своем локальном компьютере. Именно эти данные подвержены риску, и зачастую не менее важны,чем данные с коллективным доступом. В случае если организация использует AD (домен от microsoft), как правило папка "Мои документы" хранится на серверах и также резервируется, но это так далеко не всегда, и далеко не всегда пользователи используют только эту папку для хранения своих данных. Подключенный внешний жесткий диск или "флешка" точно также подвержены этому виду мошенничества.
В простейшем случае, при работе в составе обычной рабочей группы, мы предлагаем разместить на сервере именные папки, чтобы у каждого пользователя была индивидуальная папка для его рабочих документов и данных, к которой будет иметь доступ только этот конкретный пользователь и администратор сервера. И убедить пользователей хранить важную информацию именно на сервере, поскольку с данных, хранящихся на сервере будут создаваться резервные копии по оговоренному с Вами расписанию. Это позволит свести к минимуму риск потери важных данных в результате как действий мошенников, так и выхода из строя жестких дисков на компьютерах пользователей. Полагаем в ближайшее время связаться с вами для организации на рабочих местах таких папок.

Храните данные на сервере! Не храните их локально! Делайте резервные копии!


Образец письма мошенников:

Здравствуйте. Почему все файлы получили расширение paycrypt@gmail_com?
Ваши файлы были ЗАБЛОКИРОВАНЫ при помощи алгоритма RSA-1024

1. Это инструкция, которая поможет понять и решить Вашу проблему

2. Для решения данной проблемы нужно объединить наши общие ресурсы:

Наши ресурсы:
- Только мы можем разблокировать файлы
- У нас есть гарантии того, что после оплаты будет передан Ваш уникальный ключ для разблокировки
- Мы можем минимизировать Ваши риски как до оплаты, так и после
- Мы можем предоставить те консультации, которые минимизируют подобные случаи в будущем

Ваши ресурсы:
- электронная валюта
- e-mail

3. У Вас есть два варианта:
а) Форматировать диски и вернуть 0% файлов - неразумно
б) Скоммуницировать с нами, договориться за дешифрование и вернуть все файлы обратно - вполне правильно
в) Почта Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.


Для системных администраторов:

1. Ваш случай - ассиметричное шифрование RSA-1024, используется в военной сфере. Подобрать/взломать его невозможно.
При шифровании, в разные места компьютера были скопированы специальные файлы 'KEY.PRIVATE' и 'UNIQUE.PRIVATE'. Не потеряйте их!
Для каждого компьютера ключ создается новый. Он уникальный и в нём содержится код на дешифровку. Он Вам и нужен.

2. Итак, наши с Вами следующие действия:

2.1. С нами связь держать можно только по электронной почте Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.
2.2. В начале Вам необходимо получить гаранти того, что мы можем расшифровать файлы
2.3. Контактируете с нами. Структура Вашего e-mail письма:
- вложения 'KEY.PRIVATE' и ID-файла 'UNIQUE.PRIVATE' (!!) - поищите его на компьютере, без него восстановление невозможно
- 1-2 зашифрованных файла для проверки возможности расшифровки
- приблизительное колл-во зашифрованных файлов / компьютеров
2.4. В течение 1-го часа Вы получите гарантию и стоимость на Ваш ключ
2.5. Далее производится оплата, минимальная стоимость от 140 евро.
2.6. Мы отправляем Вам ключ, Вы его кладете в одну папку с полученным дешифратором
2.7. При запуске дешифратора производится скрытая дешифровка данных. Процесс запускать более 1-го раза не стоит.
2.8. Процесс дешифрования может занимать до 12-ти часов в скрытом режиме. По окончании процесса компьютер перезагрузится.

Советы:

0) Универсального дешифратора в сети Интернет не будет, ждать его нет смысла. Более того, у Вас есть ограничение по сроку годности ключа.
1) После приобретения ключа, сделайте копию всех важных зашифрованных файлов на внешние носители.
2) В процессе дешифрования желательно не трогать компьютер, (!) ДВА раза запускать с ключем дешифратор не нужно.
3) Если думаете, что вместо дешифратора Вы получите очередной вирус, тогда поставьте вирт.систему и там проведите дешифровку.
4) Если какие-то файлы не будут окончательно расшифрованы, мы дорасшифруем вручную (в архиве по почте)
5) Мы также, осознаем то, что Ваши файлы могут быть очень ценны для Вас, поэтому мы понимаем важность их восстановления.
6) В особых случаях, мы пойдем с Вами на компромисс.
7) Как защититься от этого: еженедельное резервное копирование. Не открывайте подозрительные файлы. Используйте Unix системы.



Процесс шифрования закончен: 19.08.2014 / 10:51

Администратор запретил публиковать записи гостям.

  • Gruch аватар
  • Gruch
  • Вне сайта
TOP