mike 1

Аксакал
Сообщения
2,438
Реакции
945
Мошенники.

Участвуют в мошеннической схеме по предоставлению расшифровки файлов, зашифрованных Trojan.Encoder

На договорной основе (со скидками) с распространителями.

Известные сайты мошенников:

  1. httр://cyberkeeper.ru/ru/antivirus/vault-rashifrovka.html
  2. httр://spbcomphelp.ru/virus-shifrator-deshifrofka.html
  3. www.dr-shifro.ru (англ)
  4. https://pkmaster.by/uslugi/shifro
  5. https://www.decryptionlab.ru/


Известные email:
  1. Kuchynskiy@gmail.com (форум)
  2. kochenkov.mikhail@mail.ru (Вирус зашифровал файлы реальное лекарство)
  3. kravchuk_inforce@rambler.ru

Пользователи на форуме

Если перейти на их сайте на вкладку "О нас", то можно увидеть, что свидетельство на оказание услуг компьютерной помощи выдано совершенно на другую организацию, которая никакого отношения к указанным выше сайтам не имеет.

Отзыв: Ещё один коспьютер с зашифрованными файлами .vault - Kaspersky Lab Forum
 
Последнее редактирование модератором:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,619
Реакции
6,621
просьба перед публикацией ссылок на подозрительные ресурсы, либо их деактировать например заменив http:// на hттp://, либо оформлять тегами CODE либо Plain.
Спасибо, за понимание.
 

Шинн

Новый пользователь
Сообщения
1
Реакции
0
Писал запросы в несколько подобных шараш-монтаж (времонте812 в т.ч.), схема у них одна - присылайте зашифрованный один (либо несколько) файл, мы пришлем дешефратор ... но у меня сомнения при таком подходе - разве технически можно только по одному файлу, удаленно, без диагностики "написать программу", которая и систему восстановит и вредное ПО удалит и файлы расшифрует... одна таблетка от всех бед, чудеса просто! И ни один из них не назвал стоимость дешевле, чем сам этот "шифровальщик"... тоже наводит на мысли...
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,619
Реакции
6,621
Шинн, так тут и в соседней теме vremonte812.ru
Давно пояснили структуру их работы. Этот один файл, который они у вас просят они пересылают автору шифровальщика. У него разумеется есть и программы и ключи для расшифровки ваших файлов, потом добавляют свою наценку за посредничество - отсюда и цена выше.
+ глянул вашу тему по расшифровке. В вашем случае без приватных ключей, которые есть только у автора шифровальщика никто расшифровать не сможет. Правда есть ещё надежда Мой компьютер заражен вирусом, я хочу обратиться в полицию (для жителей России)
Тем более тут на форуме есть уже пара тем, где реально это помогло. То есть арестовали авторов трояна, а потом сделали бесплатную расшифровку благодаря изъятым у него ключам.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,619
Реакции
6,621
Кстати добавлю почту одного из этих посредников. Внимание! Не стоит писать на эту почту! Это Аферисты. 89222653111@mail.ru. Почту указываю тут только для того чтобы предупредить о разводе. По имеющимся данным владелец этой почты живёт в г.Тюмень и торгует машинами, видно решил ещё подзаработать на чужом горе.
 

mike 1

Аксакал
Сообщения
2,438
Реакции
945
Итак, давненько я за этими посредниками не наблюдал, но сегодня узнал от одного пользователя, что на этом сайте httр://ithcentr.ru/rasshifrovka-fajlov.html предлагают воспользоваться очень интересной утилитой, которая составляет отчет и отсылает его им. И все бы ничего, но зашифрованные файлы повторно шифруются этой утилитой.

WQGnBv3.png


Я заполнил все данные и запустил сканирование. По окончанию проверки к тестовым файлам, к которым я дописал расширение DA_VINCI_CODE перестали читаться (т.е. я у заведомо не зашифрованных файлов попытался убрать расширение DA_VINCI_CODE).

Код:
[ Changes to filesystem ]
   * Modifies file C:\Documents and Settings\Администратор\Рабочий стол\файлы\_DSC9438.JPG.DA_VINCI_CODE
     File length: 150105 bytes
   * Modifies file C:\Documents and Settings\Администратор\Рабочий стол\файлы\_DSC9439.JPG.DA_VINCI_CODE
     File length: 5021988 bytes
   * Modifies file C:\Documents and Settings\Администратор\Рабочий стол\файлы\_DSC9485.JPG.DA_VINCI_CODE

Идем дальше: чтобы расшифровать второй слой нужно нажать на кнопку (с) в программе, но при нажатии на нее мы видим следующее:

GvDebxs.png


Нас просят ввести пароль, который мы не знаем. Теперь чтобы снять второй слой шифровки, нужно обращаться к этим посредникам, которые с радостью за это возьмут деньги.

Часть данных отсылается сюда: httр://proservice.net23.net/EST/

Будьте осторожны!
 

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
10,874
Реакции
2,940
Под номером три добавил адрес почты, который
скинул архив с примером расшифровки. Запросил 30 000 рублей. Сошлись на 20 000 рублей, но биткоинами. Увы. Ввиду беспечности или наивности перевёл ему. Он скинул пароль, но он не подходит и с тех пор не отвечает на сообщения
 
Последнее редактирование:
Сверху Снизу