• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Шифровальщик keybtc - как были расшифрованы школьные документы.

Статус
В этой теме нельзя размещать новые ответы.

Школа Москва

Новый пользователь
Сообщения
3
Реакции
3
Здравствуйте!

Пишу от имени одной Московской школы, по понятным причинам номер не указываю.
Небольшая информация, как создатели keybtc пошли на встречу и для школы бесплатно прислали дешифратор, скриншоты переписки прилагаются.

Сообщение.

Недавно мы стали жертвой вируса "keybtc". На одном из компьютеров школы были зашифрованы все документы, связанные с работой школы и прикрепленных детских садов, вся документация. Это расширения doc, docx, xls, xlsx, pdf, и все картинки и фотографии. Это примерно несколько тысяч файлов.

Произошло это 11 августа, и сразу после этого обнаружили на рабочем столе текстовый файл с инструкцией, что мы стали жертвой вируса и все файлы зашифрованы. В инструкции было описание куда и как перечислить деньги, чтобы получить дешифратор. В конце инструкции была приписка - "Процесс шифрования закончен: 11.08.2014 / 13:55".

Мы обратились в одну известную антивирусную лабораторию, создали заявку, прислали все файлы и всю информацию, которую они запросили. Через несколько дней пришел ответ, что у них пока нет дешифратора, что в вирусе используется криптостойкий алгоритм шифрования, и чтобы мы следили за их новостями, когда появится ключ.

Мы уже не знали что делать.

Решили попробовать написать на емайл, который был указан в инструкции - keybtc@gmail.com
Отправили два файла ключа, которые тоже появились одновременно с инструкцией, это "KEY.PRIVATE" и "UNIQUE.PRIVATE".
Судя по описанию, это необходимые файлы для расшифровки документов.

Текст письма был следующий:
"Здравствуйте!

Обращается к Вам школа №***, просим дешифратор, спасибо!
Все нужные файлы приложили.".

Ответа сперва не было.
Решили написать через крипто-систему Bitmessage на их адрес, который был указан в инструкции.

Мы уже не надеялись на ответ. Буквально через несколько минут от них пришел ответ.

Переписка была следующая:
- Мы: Здравствуйте! Обращается к Вам школа №***, просим дешифратор, спасибо!

- Они: Отправьте заявку с почты.

- Мы: Писали на keybtc@gmail.com, ответа не было, по инструкции написали сюда. Сейчас еще напишем.

- Они: Все доказательства прикрепляйте сразу

(После этого мы еще раз отправили письмо и приложили три зашифрованных документа.)

- Мы: Спасибо большое! Дешифратор по почте получили, утром запустим на компьютере в школе, отзывы напишем! Спасибо!

Переписывались с ними ночью. Они пошли нам на встречу и бесплатно прислали дешифратор уже через несколько минут после переписки.

Пришло два письма, одно с ответом, другое с дешифратором.

********************
Письмо 1:
Здравствуйте. Был выполнен анализ Вашего компьютера (id: 28BC91F0)

Дата шифрования: 2014-08-11
Количество файлов: 7455
Сгенерированный счет: 1AbaXwJn67sgpuQG5Dk6TnF6ovBgj97SWc
Стоимость: 0.0000000 BTC
********************

Письмо 2:
Во вложении находился сам файл дешифратор.
********************

Днем на школьном компьютере запустили дешифратор и через, примерно полчаса, все документы были расшифрованы!

Скриншоты переписок можно просмотреть здесь:





Хотим поблагодарить их за то, что они пошли нам на встречу и для школы бесплатно прислали дешифратор.
Как и обещали, написали отзыв.
Спасибо!

--
С уважением,
Московская школа №*** (номер по понятным причинам не указываем).
 
Последнее редактирование модератором:
Теперь по всем форумам будете бегать и писать об этом? На форуме ЛК, VirusInfo уже отметились теперь еще и здесь. Это что скрытая реклама о том какие хорошие эти ребята, которые пошифровали ваши файлы?
 
mike 1, Прикинь прикол, я об этом только здесь и прочитал. )

Не думаю что это стокгольмский синдром, я бы сказал что это радость руководства школы за возвращённые документы, а благодарность, ну наверное за то, что авторы вируса не настолько конченые.
 
авторы вируса не настолько конченые
Это они так грехи свои замаливают..., как "бизнесмены" в 90-е, воровали и в церковь свечку бегали ставить или пожертвования мизерные отправляли))))
 
Та ладно, это ерунда. Школа благодарна. )
 
Теперь по всем форумам будете бегать и писать об этом? На форуме ЛК, VirusInfo уже отметились теперь еще и здесь. Это что скрытая реклама о том какие хорошие эти ребята, которые пошифровали ваши файлы?

Нет, по всем не будем бегать, как и обещали, написали всего несколько отзывов. И еще просто от школы человеческое спасибо, что были возвращены все документы. Дело в том, что на этом компьютере хранилась вся рабочая документация по работе школы.

Возможно наши сообщения пригодится какому-нибудь еще образоватеьному учреждению, или детскому садику, если они тоже столкнулись с таким шифровальщиком, и возможно им тоже пойдут на встречу.
 
Возможно наши сообщения пригодится какому-нибудь еще образоватеьному учреждению, или детскому садику, если они тоже столкнулись с таким шифровальщиком
Вот именно на ресурсах этих образовательных учреждений и нужно выложить данную информацию, имхо, так было бы логичнее ;)
 
Известно кому - автором шифровальщика, вот, мол, какие добряки
 
Мда, прямо робингудство. :Biggrin:
Грабят "богатых", помогают "бедным".
 
Скриншоты переписок можно просмотреть здесь:
Service Unavailable
HTTP Error 503. The service is unavailable.
Да, логично разместить на временных ресурсах. Нет бы в яндексе личном или мейле.. Наверное палевно, да ?
Уберите наверное.. (хотя пока доступно)
Андрей C, on 06 Aug 2014 - 10:53, said:
Добрый День!! впринципе как и у всех получили письмо по почте, открыли и все файлы зашифровались. полазил по форуму -моего случая не нашёл. у меня все файлы зашифровались расширением keybtc@gmail_com. Помогите плиииз расшифровщиком или скажите, что необходимо сделать. Стоит win 8 в корне никаких дополнительных файлов не появилось. С нетерпением буду ждать ответа. Заранее,спасибо
Андрей C, Ваше сообщение удалено, как не имеющее отношения к теме.
У нас удалили.
 
Последнее редактирование:
В письме с дешифратором была просьба написать отзывы, что мы и сделали.
Где, у себя на сайте ? Или на сайте почты, через которую заразились шифровальщиком ? Вы можете толково объяснить - почему на ресурсах по защите от вирусов ? Мне это не понятно.
(только сначала себя убедите в том, что скажете, а то ведь получается так - вам постарались помочь, но "отблагодарить" вы решили других, причём там, где не помогли - смекаете ?).
 
Последнее редактирование:
Вот мне интересно, если другим также написать, у меня есть одна знакомая, у которой также файлы пострадали, то проявят сочуствие?
 
Талант драматурга проявить если)
 
Я тут подумал, всё же Саня прав, это личная история конкретной школы, вот на сайте ЭТОЙ школы и нужно написать все спасибы вирусописателям за помощь.
Вот именно на ресурсах этих образовательных учреждений и нужно выложить данную информацию
Всё же тему нужно удалить. И да, в конечном итоге не гоже "спонсировать" бесплатной доской благодарности тех, против кого боремся. Помогли школе - хорошо, но публикуйте на образовательных ресурсах ибо:
1. Это опыт, печальный или не очень - это уже второстепенный вопрос.
2. Естественно и логично предположить что руководство школ заглядывает на сайты соседних школ, вот этот опыт им бы и пригодился.
3. У нас компромиссов нет, а посему это сообщение можно рассматривать как скрытую рекламу вирусописателей.
 
Тему я пока закрываю. Удалять или не удалять, вопрос.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу