Программа зашифровала данные на диске ... что делать?

почти нулевые

сложно сказать. Наверняка нужно чтобы спецслужбы очень и очень хотели поймать подобных мошенников. Если такого желания нет, то наверное никакие не способны.

боюсь что никак. Все счета, киви-кошельки и т.п. оформлены на левых либо несуществующих людей.

пишите заявление, а там будет решатся все по ходу дела, периодически их отлавливают либо отслеживают средства, но это очень долго. я бы на вашем месте искал способы восстановления файлов, в некоторых случаях это возможно.

Ну как бы злоумышленник еще на связи, 30000 хочет за восстановление.

все зависит от важности файлов и способа шифрования. вероятность повторного шифрования после получения средств очень высока, поэтому риски оценивайте сами, я бы на вашем месте обратился в онлайн службу техпотдержки вашего антивируса если таковой имеется.
попробуйте позвонить вашему провайдеру, узнайте что он вам скажет, потом ищите номер телефона полиции которые отвечают за информационную безопасность и компьютерное мошенничество, по моему они находятся в ирке и сейчас вряд ли дозвонитесь, но предварительную консультацию можете получить в дежурном отделении вашего района
и еще, если мошенник на линии, то это не значит, что там сидит "живой" человек

с мошенником была очень разнообразная дискуссия, он хотел сначала 100 тысяч.
Пробовали пугнуть, давили на совесть, на жалость с разных концов, и наконец он снизил свои требования в 3 раза.

Да вряд ли. Эти программы студенты техникума могут написать, в интернете есть куча примеров. Мне важен другой момент - как отследить транзакцию, сайт обменник - какую он роль играет.

Вирус был запущен на ПК без антивируса (точнее с просроченным) и поразил сетевой каталог в рамках доступа пользователя. Позже вирус был убит простым антивирусом.

Программа декодер написана на Дельфи 7, которую изучают в техникумах (в вузах изучают С++).
В качестве идентификатора компьютера программа использует крипто ключи в текстовых файлах. Все до банального просто. Но очень стойкий алгоритм криптошифрования не позволяет надеяться на быструю расшифровку собственными мозгами. Хотя я в этом не очень хорошо разбираюсь, да и не каждый программист вообще сможет.
Поэтому я просто банально хочу отследить платеж - и спрашиваю, какие идеи о том, какая схема вывода денег с биткоина.

я не знаю способа отслеживания, могу только предполагать, если бы все было так просто его бы уже давно нашли. сильно удивлюсь если сможете отследить его без помощи хотя бы провайдера. если клюнуло хотя бы 100 человек со всей страны и перечислило по 10000 рублей, то на такую сумму можно организовать неплохую маскировку связи с кучей посредников. а имея опыт общения по вымогательству можно преположить что там сидит неплохой доморощенный психолого похожий на лошару студента. с таким подходом вы все оплатите и останетесь ни с чем, даю сто процентов (без отруба))), что вирь подкачается снова и перешифрует все ваши файлы заново

Готовой расшифровки нет, и не будет. Алгоритм меняется быстрее чем собираются данные по конкретным модификациям шифровальщиков.

Но можете попробовать, вдруг у вас не самый новый шифровальщик поработал..., обратитесь в Dr.Web - только они занимаются этим. (нужен ключ/возьмите у знакомых/купите коробку)

От них вы получите примерно такой файлик - te567decrypt_new.exe и инструкцию с паролем.

Есть и без пароля такие файлы, но они врятли помогут, т.к. они от самых ранних шифровальщиков.

100% вероятность расшифровать - только заплатить, полицию приплетать бесполезно.

habrahabr.ru/post/206830/

Там в статье про te225decrypt.exe от Dr.Web - в итоге все расшифровали, так что пишите им. = )

Просто написание подобных программ доступно и школьнику - в интернете есть заготовки.
В данном случае я просто уверен что это студент техникума, потому как сам понимаю психологию людей неплохо. В ходе общения выяснился его пол, примерный возраст, примерный уровень развития, а также и то, что он плохо контролирует свое детище, и что у него ориентир на российский бизнес и муниципальные организации.

Читал я и эту статью в том числе - я так скажу, посмотрите сайт
http://vmartyanov.ru/about/
Человек работает в этой самой лаборатории ДрВеб - и у него полно отмазок типа "нет и не предвидится".

Этот сердобольный уже прислал пример дешифровалки, я ж говорю - там все до банального просто.

откуда он подкачается? Вирус уже убитый и в карантине. Был в temporary files браузера. После него уже убит и профиль юзера, создан заново.

АртемИванович,
важный вопрос: вы с ним через что общаетесь?

Никаких.

и вы что реально готовы 30000 заплатить? а какие гарантии. что он вам все востановитьб? может за такие деньги тут спеца поискать?

да хоть 200 предлагай, расшифруют лет через 20.
Так что либо платить, либо смириться и усвоить урок на всю жизнь.
Письма такие частенько приходят, особенно по организациям и выглядят относительно убедительно

Через электронку.
У меня свой почтовый сервер, ну как бы физический компьютер, один из местных провайдеров с фиксированным IP.
У него почта на AOL.

Стоп-стоп. Биткоин это та же технология что и торрент. Есть пир1, пир2 и "трекер". Трекер или хостинг где это все происходит все равно запоминает какие-то транзакции, где фигурирует IP обоих сторон.
Понятно правда что дело такое, весьма трудоемкое, выяснять все это.

Нет, ну а что вы предложите делать. Главный инженер компании сунул очень важные вещи в общий мусор и не сделал копии.
Вообще теперь задумались, и не только о грамотности пользователей, до которой как до Луны пешком.
Возможно будем активно внедрять облака.

Да,пару раз главбухам приходили. В первом случае админских прав не хватило,во второй как то восьмерка вывезла, да и главбух продвинутый был, понял подвох.

С точки зрения закона зловредный умысел с целью обогащения есть и он доказан. Осталось только свести А с Б, идентифицировать гада и доказать его причастность.
Завтра разговариваю с отделом К, посмотрим, велико ли там будет желание ловить хакера.

Админские права в данном случае и не понадобились, если пользователю разрешено изменение таких-то сетевых каталогов. Все было бы страшнее на порядок если бы это не просто троян был, а руткит.

Поймать его с поличным на живца,и через эту подставную жертву отслеживать

В этом городе нет специалистов, которые разбираются в R6, RSA и т.д.
Я как-то создал в TrueCrypt раздел в 10Гб, сунул туда чего-то не помню уже чего и ... забыл пароль. А может ввел его с ошибкой два раза. Алгоритм Twofish. Драма.

Я не спрашиваю платить или не платить. Платить придется. Мне интересно, как можно отследить платеж.

ЕМНИП, каждый пир является и трекером. Так что бесполезно.

там в заголовках письма ИП имеется? Куда указывает?

Ага, все для тебя.

[22/Jun/2015 16:39:33] Recv: Queue-ID: 5587c9c5-0000034b, Service: SMTP, From: <*********@aol.com>, To: ,
Size: 6460, Sender-Host: 64.12.109.83, SSL: yes, Subject: Re: зашифрованные файлы!!!!!!!, Msg-Id: <14e1a724e93-779f-f044@webprd-m45.mail.aol.com>

в Вирджинию когда летим?
Ну можно конечно запрос от Интерпола написать в AOL. А если он через tor сидит?

decryptcryptolocker.com проверь тут еще = )

Авторитетно заявляю:
1. Биткоин не отследишь. Делают это не школьники и не студенты, и с безопасностью у ребят просчитано на пять ходов вперёд. Вплоть до того, что коины моют в он-лайн казино перед тем как вывести. Отследить невозможно.
2. На айпи в письме смотреть тоже не стоит, ребята под тором и вычислить тоже никак не получится.
3. Заявление можете написать, и у вас его примут, однако, поймать их так же не смогут.
Смиритесь.

Уууу....

Да хоть завтра, вы - спонсируете. Я знаю там отличный бар.

Анальгин знает, о чём говорит.

Выбора нет.

Как вариант - упорно отказываться от биткоина и попросить другой способ.

ангарчанин,
С другими способами оплаты они его просто пошлют лесом, говорю же это делают совсем не дураки.

Глупо в корпоративной среде сидеть без защиты, каспер такую ерунду давно контролирует...
а по сабжу - проще забыть как страшный сон, чем возиться, в следующий раз быть умнее

1. Забыть о потерянных документах и обозначить для себя как неизбежные риски в бизнесе.
2. Нанять опытного ИТ-нишка с навыками ИБ и пересмотреть всю концепцию работы в сети.

30 т.р.?! Нет, ну вы серьезно думаете потратить свое время и время правохранителей?

Каспер тоже пропускает шифровальщики, будет время попробуйте запустите эту гадость у себя, не на виртуалке.

Удивитесь молчаливости Каспера, да и любого другого, они начинают истерить когда уже похерено.

С 30.000, можно и до 5 доторговаться, платите, возможно вас и не кинут 50 на 50...

А так да, бэкапы чаще делайте. Шифратор пробивает даже связку АПКШ Континент3,7+Cisco+SN7.3...

ПРОМсТО ВЫКЛЮЧИ компьютор кнопкоой ,до черного экрвана.Потом заведи с в кнопкойй загрузки заадания. а взадании введи слово- RSTRUI.ББ сработало.Успехов!!.

ББ не надо.

Зачем сети защита извне, когда враг уже внутри?
Резать права пользователей, устраивать еще больше уровней доступа. Вирус по сути затронул только трэш, в котором по счастливой случайности инженерия хранила нечто ценное для себя. В итоге я-то лично не впух, но все равно обидно, и возмущает наглость вымогателя.

Кстати, что лучше - eset file security или drweb security space. KAV не предлагать.

Вот он, падла.
http://vms.drweb.ru/virus/?i=3799463

в непосредственной близости

АртемИванович,
Взыскать ущерб с запустившего лица и ответственного за ИБ. Провести повторные инструктажи по ИБ. Не принимать людей, не умеющих работать на ПК и не умеющих отличить исполняемый файл от электронной таблицы. Антивирус не панацея, это по сути и не вирус. Пользователь его скачал и запустил сам. 100% человеческий фактор.

ИБ не пострадали. Они вообще то в sql все. На лету процесс вируса не может изменить файл базы, если с ним работает другой процесс сервера MSSQL. Сначала вирус должен убить конкурирующие процессы, а потом уже убивать файл базы, так что здесь имеем атаку детскую (PDF, DOC, DOCX, XLS, XLSX, ZIP, RAR) и наглую. Примечательно что о существовании формата PPT и PPTX вирус как бы и не знал. Не знал он и о формате GSF и XML.
Да, и файлы, сделанные в open office, остались целые.

Камаз,
+1

ИБ -Информационная безопасность, а не "И" какие то Базы

Печалька...готовьте бабки.

как всегда в данной ситуации виновата жадность. ведь надо было заранее купить антивирь и всех этих вопросов можно было бы избежать. по работе очень часто сталкиваюсь с подобной жадностью. и в итоге всегда им приходится платить.
АртемИванович вы зря кстати отказываетесь от касперского, только я рекомендовал бы не KAV а KIS? и от интернет атак спасает и от фишинговых сайтов. так что задумайтесь о том что бы на все компы поставить и персонал своей организации обучить что у файлов есть не только имя но ещё и расширение и что исполняемые файлы .com .bat .exe не стоит двойным кликом тыкать. детские истины но безграмотность народа на предприятиях просто поражает

Никакой антивирь не сработает, вообще никакой. Сначала шифровальщик работает, потом через 30 мин, час и т.д. заверищит антивирь, но поздно. Такой вирус, такова реальность.

Скачайте любой шифровальщик и запустите этот батник(js под word, иконка такая же, расширение скрыто - для бухгалтера всё норм... и т.д.), хоть сразу с тремя антивирусами - сильно удевитесь...

Тут только совет; бэкап + внимательность пользователя и всё. Все остальное вторично и бессмысленно.