none
Vírus compacta arquivo para rar com senha

    Discussão Geral

  • Srs,

    Este é meu primeiro post, e gostaria de compartilhar um problema que aconteceu em uma das máquinas de uma empresa cliente. Um vírus compactou todos os arquivos do windows para rar e com senha senha adicionando na frente do arquivo a informação "<nome do arquivo>(!! to get password email id <id numérico> to brsechvs@gmail.com !!).exe". Por acaso já aconteceu com alguém este incidente, ou conhece uma solução para descompactar este arquivo sem ser força bruta?

    Criei um e-mail teste e enviei o id, mas sem resposta (eu sei, é errado negociar com terrorista :).

    Tentei o advanced rar repair - sem sucesso.

    Tentei o rarcrack (força bruta) - Só come o meu processador mas não encontra - até porque acredito que a senha deve ser monstro.

    Pesquisei no google mas não obtive sucesso nem pelo problema em si.

    Estou ficando sem opção...

    quarta-feira, 10 de julho de 2013 13:19

Todas as Respostas

  • Cara, estou com o mesmo problema...

    Se conseguir alguma coisa e puder avisar, ficarei grato. Caso ache algo, eu posto!

    quarta-feira, 10 de julho de 2013 14:52
  • Me ferrei nessa também.

    Mandei o e-mail, e o cara não abre mão dos US$ 3000.

    Mandou a forma de pagamento (perfectmoney.is) e mandei um arquivo e o cara devolveu descompactado.

    Agora meu dilema é pagar ou não...

    quarta-feira, 10 de julho de 2013 15:37
  • Estou tendo o mesmo problema que vocês! 

    Já tentei de tudo e nada da certo, não existe muitas informações referente ao assunto. Não sei mais o que fazer. 

    quarta-feira, 10 de julho de 2013 17:32
  • Pois é Noeczisto ele me passou a mesma proposta e o cara é irritado não ta nem ai para contraproposta. Estou ainda tentando por força bruta com o RAR Password Unlocker, mas vai demorar, Eu acredito que esta senha deva ter uns 30 caracteres :(
    quarta-feira, 10 de julho de 2013 19:57
  • Você's estão conversando com ele por qual e-mail?
    quarta-feira, 10 de julho de 2013 19:59
  • brsechvs@gmail.com
    quarta-feira, 10 de julho de 2013 20:01
  • Pessoal, fui atingindo por este vírus também, estou indignado, vamos solucionar esse problema, estou aqui pensando em alguma solução!

    você não conseguiram nada ainda?

    quarta-feira, 10 de julho de 2013 21:00
  • Estamos todos no mesmo barco. Qualquer novidade eu posto aqui. 
    quarta-feira, 10 de julho de 2013 21:10
  • Pessoal, existe algum meio de rastrearmos esse cara legalmente, digo, ligar p/ Policia Federal, algo do gênero sera que adianta??
    quarta-feira, 10 de julho de 2013 21:24
  • Estou com o mesmo problema, estou tentando quebrar a senha com algum software desses que achei no google.
    quarta-feira, 10 de julho de 2013 21:39
  • Galera, todos meus arquivos deram problema, até os que não eram .RAR esta corrompido (XLSX, DOCX e etc.), descobri que tudo virou um .RAR o que eu to fazendo é força bruta em um único arquivo,que a senha deve ser universal, e depois vou usar essa senha para descompactar tudo! vamos torcer para dar certo, estou realmente preocupado!

    abraços e boa sorte a todos

    quarta-feira, 10 de julho de 2013 21:45
  • já fiz faz 2 dias que ta rolando o Rar file password, advanced rar tem mais um que esqueci o nome. Mandei e-mail para o Dr.Web ele respondeu dizendo que não tem como descriptografar a senha.
    quarta-feira, 10 de julho de 2013 21:54
  • Caramba cara, que absurdo, estou aqui indignado ainda, não creio que algum tenha feito isso, vou dar minha vida p/ solucionar o problema rssss
    quarta-feira, 10 de julho de 2013 22:04
  • kkk qualquer novidade é bem vinda! Qualquer novidade eu posto aqui. 
    quarta-feira, 10 de julho de 2013 22:58
  • Cara estou com o mesmo problema com um cliente meu aqui na PB, o pior é que foi no servidor da empresa, o arquivo do banco de dados o .FDB também ta do mesmo jeito, vamos até a policia federal para rastrear esse cara
    quinta-feira, 11 de julho de 2013 01:10
  • Olá pessoal, pelo e-mail que o cara respondeu, vocês não conseguem pegar o ip dele? 

    Tive o mesmo problema e estou tentando resolver por programas de força bruta, como o rarcrack do linux

    quinta-feira, 11 de julho de 2013 01:33
  • Também tive um cliente vitima desse vírus que compactou a base de dados do sistema em seu servidor e até agora não vejo nenhuma solução plausível.

    Alguém ai ja tentou recuperação de arquivo com programas que recuperam arquivos depois da formatação??

    quinta-feira, 11 de julho de 2013 02:57
  • Bom dia Pessoal, olha eu estou com muito medo que esse vírus afete algum outro servidor, o que eu perdi eu tenho backup de uma boa parte, mas mesmo assim temos que ir atras para pegar um cara desse!!!

    Hoje irei tentar ligar em Policia Federal, e afins!

    quinta-feira, 11 de julho de 2013 10:34
  • Olá Bom Dia!, iai alguma solução até o momento, alguem?
    quinta-feira, 11 de julho de 2013 12:10
  • Estou usando o  RAR Password Unlocker, já faz umas 15 horas, vou deixar até segunda-feira (15 de julho de 2013) rodando, enquanto isso vou atras de meios legais para encontrar esse vírus!
    quinta-feira, 11 de julho de 2013 12:20
  • A tentativa não da em nada... os arquivos vão continuar compactados do mesmo jeito :(
    quinta-feira, 11 de julho de 2013 14:54
  • Desde quando abri este post, rodo um aplicativo para desbloquear a senha a força bruta, mas até o momento nada... ainda esta no 7º digito... mas estou rodando em um desktop, por acaso alguém esta tentando rodar em uma máquina parruda na azure ou aws (com o melhor poder de processamento)? Se não encontrar terei de apela a isso. 
    quinta-feira, 11 de julho de 2013 14:59
  • Olá pessoal, li em alguns fóruns no google, um virus parecido como este, onde a senha estava no próprio trojan, como que vocês pegaram esse virus? por email?
    quinta-feira, 11 de julho de 2013 15:14
  • Isso era na versão antiga do virus nessa atual a 2.0 ele não faz mais isso. Já olhei todos os arquivos que o virus se instalou e nada. JA tentei de tudo!!!
    quinta-feira, 11 de julho de 2013 16:16
  • Cara... Também estou com o problema porém não tenho mais o arquivo. Tu tem o arquivo com o vírus ?  Tem como zipar e me enviar pra análise ?

    Quero muito tentar descobrir como ele faz isso e passar pra todos voces. Obrigado. (PS.: se tiver pode enviar pra igorcris08@gmail.com)

    quinta-feira, 11 de julho de 2013 17:09
  • Estamos com o mesmo problemas com 2server 2003 aqui, um ja fizmos o backup do banco de dados e formatamos a maquina pois nao podiamos deichar o cliente sem servidor. kraaaa q coisa mais foda esse virus.

    Esse virus esta entrando pela porta RDP kra :/

    quinta-feira, 11 de julho de 2013 17:50
  • Olá Pessoal, 

    Também tive esse problema em um cliente, e pelo que percebi o vírus (Ransom.KW) roda um script que compacta (SFX) e exclui o arquivo original substituindo-o no mesmo setor/trilha do HD o que impossibilita a recuperação por programas "undelete" -> esse recurso é oferecido pelo próprio WinRar, ou seja não instale Winrar no servidor :)

    O virus em si (lsassw86s.exe)  é eliminado pelo antivirus, o problema é que deixa como refém os arquivos criptografados com uma senha monstruosa (segurança do Winrar) impossível de descobrir como o próprio autor declara. 

    Recuperar os arquivos trata-se de quebrar a segurança do Winrar que não tem mais nada a ver com o vírus.

    estamos tentando...

    quinta-feira, 11 de julho de 2013 17:52
  • Ou seja quem nao pego o danado do virus ainda vamos tirar o winrar das maquinas
    quinta-feira, 11 de julho de 2013 18:04
  • por questão de segurança, evitar qualquer programa que possa ser executado por scripts. manter o servidor somente como fileserver, AD, Firewall, etc... não utilizá-lo como estação de trabalho :(
    quinta-feira, 11 de julho de 2013 18:10
  • Cara, algum de vc's já tentaram algo relacionado a engenharia reversa desses arquivos, to trabalhando pra v se consigo algo por esse caminho, se servir fica a dica pra alguém ai...

    caso alguém consiga por favor post aqui.

    quinta-feira, 11 de julho de 2013 19:04
  • Galera tive esse mesmo problema em um cliente.

    "<Banco.FDB(!! to get password email id <id numérico> to brsechvs@gmail.com !!).exe"

    Depois de quebrar a cabeça procurando programas para resolver e nada com êxito fui em propriedades do arquivo e vi que não tinha origem, tamanho e nem nada de um arquivo geralmente compactado em rar, então percebi que o vírus apenas acrescentou no nome do meu arquivo que era ''banco.FDB" para "<Banco.FDB(!! to get password email id <id numérico> to brsechvs@gmail.com !!).exe".

    Nesse caso só apaguei os campos que ao correspondia ao meu arquivo e tudo voltou a funcionar corretamente.

    Se der certo pra vocês me avisem.

    Vlw...

    quinta-feira, 11 de julho de 2013 19:39
  • Caro Alvarenga83, no meu caso, também ja apaguei a descrição depois da extensão atual do arquivo, só que depois disso o arquivo não abre fica como se fosse corrompido.
     
    quinta-feira, 11 de julho de 2013 19:52
  • Pessoal meu escritório tbn foi afetado... estamos passando o ARCHPR 4.54 a 3 dias e nada... ta difícil.

    Pelo que vejo muitas pessoas foram afetadas neste feriado que passou... conheço mais 2 empresas que caíram neste vírus tbn.

    Hoje enviei uma denuncia para a Policia Federal.. vamos ver se teremos respostas.

    e pra ajudar.. meu HD estava conectado ao servidor, o safado conseguiu mexer lá tbn.. resumindo.. perdi quase tuso

    sexta-feira, 12 de julho de 2013 01:03
  • Eu continuo rodando o rarcrack no meu ubuntu, mais ainda sem retorno...
    sexta-feira, 12 de julho de 2013 01:11
  • hj eu desinstalei o WINRAR e o arquivo infectado virou somente pasta zipada...

    e se conseguíssemos desinstalar este recurso do Windows tbn.. o arquivo iria ficar sem nenhuma "extensão".. sera que ele não voltaria ao seu formato original???

    sexta-feira, 12 de julho de 2013 01:33
  • MESMO PROBLEMA COM MEUS AQUIVOS VIRUS DO CARRRIA

    sexta-feira, 12 de julho de 2013 14:10
  • Tecnicos tomem cuidado com seus servers, o mane que ta fazendo isso ta usando a  area de trabalho remota do server, mudem suas senhas e aumentem a complexidade da mesma, deem uma olhada em visualizar eventos, sistema, procurem termservice e vao ver as tentativas em acessar seu servidor.

    Paulo Lima

    prainformaticaarrobagmailpontocom

    sexta-feira, 12 de julho de 2013 18:52
  • Tecnicos tomem cuidado com seus servers, o mane que ta fazendo isso ta usando a  area de trabalho remota do server, mudem suas senhas e aumentem a complexidade da mesma, deem uma olhada em visualizar eventos, sistema, procurem termservice e vao ver as tentativas em acessar seu servidor.

    Paulo Lima

    prainformaticaarrobagmailpontocom

    sexta-feira, 12 de julho de 2013 18:54
  • Ontem enviei um e-mail ao suporte técnico do Rarlab relatando o problema e solicitando alguma ajuda. Esclareci que não queríamos quebrar a senha do rar, mas recuperar os arquivos, a resposta foi que não seria possível recuperar senhas maiores que 5 caracteres ou mais complexas pois o rar armazena a senha criptografada em um só caminho, como .net :( 


    Hello,
    
    unfortunately we are not able to help you here.
    
    RAR encryption does not contain backdoors, so the only possible way
    to find a password is to check all possible character combinations.
    
    You may try RPC tool:
    
    http://www.rarpasswordcracker.com
    
    or tools listed here:
    
    http://www.password-crackers.com/en/category_99/
    
    for that, but this process is very slow and can help to restore
    only short passwords, up to 4 - 5 characters. We do not know any
    way to restore longer passwords.
    
    Sorry. Use of strong encryption in WinRAR sometimes leads to
    negative outcome.
    
    --
    
    Best regards,
    Stephan Schuett at WinRAR-Support

    sexta-feira, 12 de julho de 2013 20:30
  • Bom dia Pessoal, ainda não consegui nada também!!!

    Esta bem difícil uma solução, e estou preocupado, principalmente porque varias empresas atualmente usam o RDP, vou desinstalar  o winrar, e to pensando seriamente em bloquear o acesso RDP, somente para IP. confiáveis!

    Vamos resolver esse problema em pessoal!!

    Bom Fds a todos!

    sábado, 13 de julho de 2013 13:58
  • ola a todos tem um amigo aqui em joão pessoa que é alta didata nessa área de programação segundo o ponto de vista dele que ouviu sobre esse problema garante que se abrir no notepad ++ e possível identificar a senha procurando na estrutura do programa essa versão dele não custa tentar o nome do senhor é Everaldo ele trabalha com notebook recuperação de placa e as vezes da certo 
    domingo, 14 de julho de 2013 15:13
  • Prof. Edson, obrigado pela diga, irei tentar fazer isso AGORA!!!

    Posto o resultado assim que possivel!

    Mas desde já agradeço imensamente a ajuda! 

    segunda-feira, 15 de julho de 2013 01:23
  • Bom dia Khaslu!

    Meu TI já encontrou 7 caracteres também... você não poderia me passar para vermos se são os mesmos que ele achou?

    Assim, saberemos que a senha é universal ou não...

    segunda-feira, 15 de julho de 2013 12:50
  • Me ferrei nessa também.

    Mandei o e-mail, e o cara não abre mão dos US$ 3000.

    Mandou a forma de pagamento (--) e mandei um arquivo e o cara devolveu descompactado.

    Agora meu dilema é pagar ou não...

    Mas ele te mandou o arquivo sem voçe ter pago nada e tals? 
    So for só isso da um golpe no golpista.. rsrs
    segunda-feira, 15 de julho de 2013 14:30
  • Caro colega, qual parametro sua TI esta usando para achar os caracteres da senha, existe alguma referencia dentre o mundo de caracteres que temos no arquivo em notepad ???? no caso um <> ou coisa do tipo ??

    muito obrigado, sou de sao paulo e estou com o mesmo problema

    abs

    segunda-feira, 15 de julho de 2013 14:40
  • Oi Pessoal....Isso tá parecendo filme de ficção.. e o pior é que também estou nessa também.. tenho um cliente que acabou de ser infectado... Estou tentando uma solução da Panda Ranson AntiChild Decripter..mas ainda nada. Vou partir para o plano "B", tentar voltar o Backup.. A dúvida é o seguinte... e se esse abençoado ainda estiver em alguma maquina da rede... alguma recomendação...um antivirus especifico que detecta essa ameaça???para a rede e para o server???
    segunda-feira, 15 de julho de 2013 15:08
  • Boa Tarde!

    Você obteve algum progresso ou efetuou o pagamento?

    segunda-feira, 15 de julho de 2013 16:16
  • Alguma novidade Caio!!!
    segunda-feira, 15 de julho de 2013 16:16
  • também estou nessa! meu servidor tinha o kaspersky mais não adiantou de nada! vamos correr atras!! estou com minha base compactada também! 
    segunda-feira, 15 de julho de 2013 16:33
  • Amigo Noeczisto,

    você chegou a pagar?

    Esto com mesmo problema, e até agora nada de solução. estou perdido!


    VictorNascimento

    segunda-feira, 15 de julho de 2013 17:01
  • Noeczisto, ele te devolveu o arquivo descompactado? estou com uma base aqui de 29MB que é o que eu mais preciso. eu enviei o email ele pediu um arquivo para teste, pensei em enviar essa base. porem o anexo do e-mail so aceita 25MB e como a resposta parece ser automática penso que o certo seria mesmo anexa na resposta do e-mail. estou em duvida agora! 
    segunda-feira, 15 de julho de 2013 18:00
  • Estou como o mesmo problema com um servidor win2003 estou pensando em restaurar o sistema para ver se consigo recuperar os arquivos... Aguem ja tentou algo do tipo ?
    segunda-feira, 15 de julho de 2013 19:45
  • É só em Windows 2003 que está acontecendo ?
    segunda-feira, 15 de julho de 2013 20:28
  • Não, em qualquer windows server, até agora eu só vi em server pelo menos...
    segunda-feira, 15 de julho de 2013 20:44
  • Pessoal, nada ainda, rodei 7 dígitos no rar passsword, mas eu parei ele, me conformei com a situação, tentei pelo notepad++ mas ate o momento não obtive resultado.

    Esse vírus infectou um Windows Server 2008 R2, então não é só no server 2003 não, acho que ele vê uma conexão RDP e ele tenta, por isso reforcei as senhas, retirei administrador de todos os usuários e afins, agora vamos ver o que fazer. 

    Quem tem arquivos muito importantes não esqueçam do backups em!!!!

    Se alguém tiver novidades, não deixe de postar!

    Abraços


    segunda-feira, 15 de julho de 2013 20:45
  • Vcs conseguiram iniciar o Windows Server?

    http://www.virus-delete.com/pt/guides/remove-decrypt-accdfisa-protection-program.html

    tinha lido isto, mas tentei e não deu certo

    segunda-feira, 15 de julho de 2013 20:52
  • BOA TARDE!

    estou recuperando meu arquivos apenas renomeando o arquivo original...

    exemplo: saldos.xls(!! to get password email id 791611385 to brsechvs@gmail com !!).exe

    troco para: saldos.xls

    segunda-feira, 15 de julho de 2013 20:57
  • precisamos de um arquivo .bat para retirar de todos os arquivos que estejam (!! to get password email id 791611385 to brsechvs@gmail.com !!).exe no nome... algo automático... se alguem sabe programar ajuda ai
    segunda-feira, 15 de julho de 2013 21:09
  • ... notamos uma coisa...

    cliente local não consegue renomear arquivo... (via TS consigo renomear arquivos)

    para abrir servidor tem um aviso do virus... (tiramos com kaspersky saliti killer deixando hd escravo em outra maquina)

    segunda-feira, 15 de julho de 2013 21:32
  • Bybonnes... aqui consigo renomear os arquivos, porem ele continua criptografado. Você consegue abrir o arquivo depois de renomear?
    segunda-feira, 15 de julho de 2013 21:34
  • Nos também conseguimos renomear o arquivo e ele volta para o original.. mas quando vamos abrir ele dá como Arquivo corrompido...

    Bybonnes, você consegue abrir os seus arquivos????

    segunda-feira, 15 de julho de 2013 21:59
  • falae galera...to na mesma situação e acho que ja executei tudo que vcs tb tentaram....

    e tambem meio que estou no mesmo ambiente...2003 server e ts ativo...

    consegui passar o kv removal....mas os arquivos estao criptografados...

    alguem teve noticias de resposta da federal?


    This information is desinformation

    segunda-feira, 15 de julho de 2013 22:20
  • o cara do email ta usando um proxy...pra nao ser rastreado...

    não é bobo tb...

    mas este br na frente do email...o cara respondeu em ingles ou portugues?

    SMTP session

    <tt style="font-family:'Courier New', monospace;">[Contacting gmail-smtp-in.l.google.com [173.194.64.27]...]
    [Connected]
    220 mx.google.com ESMTP v5si26758784obx.150 - gsmtp
    EHLO mx1.validemail.com
    250-mx.google.com at your service, [70.84.211.102]
    250-SIZE 35882577
    250-8BITMIME
    250-STARTTLS
    250 ENHANCEDSTATUSCODES
    MAIL FROM:<>
    250 2.1.0 OK v5si26758784obx.150 - gsmtp
    RCPT TO:<brsechvs@gmail.com>
    250 2.1.5 OK v5si26758784obx.150 - gsmtp
    RSET
    250 2.1.5 Flushed v5si26758784obx.150 - gsmtp
    QUIT
    221 2.0.0 closing connection v5si26758784obx.150 - gsmtp
    [Connection closed]</tt>


    This information is desinformation

    segunda-feira, 15 de julho de 2013 22:24
  • Olá Leonardo. Ele responde em inglês. 

    Veja abaixo o e-mail que ele me respondeu.

    Hello!

    Price for your ID is 3000 USD.

    You have Version 2.0 from 22.03.2013.

    For proof we have your passwords you can send us NOT important one FILE for decrypt. Dont forget to rename .exe to .rar or something like this 
    because google reject any .exe files.


    You can read additional information in file "how to decrypt files.html". Link to this file is on your desktop and on each hard disk drive.

    Thank You.

    segunda-feira, 15 de julho de 2013 22:47
  • Galera, eu andei lendo e um fórum gringo que um rapaz pagou a taxa e o cara passou a senha (copie e cole o link em seu navegador)

    http://www.bleepingcomputer.com/forums/t/449398/new-ransomware-called-anti-child-porn-spam-protection-or-accdfisa/?p=3093944

    Olha o tamanho da senha. Resumindo, força bruta acho que não rola, teremos de tentar outra coisa.

    Sobre a Policia Federal, o certo é ligar para a Civil, que ai eles vão nos direcionar para o local certo referente a isso, se vocês puderem, liguem todos para aumentar o chamado e aumentar a importância dentro da Policia!

    Andei lendo também, e estou com muita certeza que ele acessa por RDP, por isso galera, quem usa TS, vamos redirecionar as portas padrão dentro do roteador, ex. direcionar o roteador para que a porta 1234 jogue para a 3389, eu fiz isso aqui, e também não esqueçam de colocar senhas fortes em TODOS os usuários que usam do acesso remoto, principalmente administradores, um bom anti-virus não sai caro para ninguém!

    Vamos nos proteger para que isso não aconteça mais!

    Abraços e boa noite a todos!


    • Editado Caio Ferragut segunda-feira, 15 de julho de 2013 23:26 Erro
    segunda-feira, 15 de julho de 2013 23:22
  • todo mundo é de SP???

    This information is desinformation

    terça-feira, 16 de julho de 2013 00:53
  • eu sou do ES, não sei o que fazer já tentei varias opções. entrei em contato com ele também e realmente pede 3 mil dólares. complicado a situação porque pegou meu banco de dados de controle financeiro. ele também pegou os backup tudo ate mesmo um backup criptografado que eu dia no dropbox. complicado!
    terça-feira, 16 de julho de 2013 00:59
  • um amigo meu pagou os 3mil....estamos falando agora...

    agora como é contaminado? foi por invasão? o estranho pegou justamente num servidor que eu tinha formatado 3 dias antes...com todos os packs, antivirus...

    muito estranho isso


    This information is desinformation

    terça-feira, 16 de julho de 2013 01:14
  • detalhe...no meu hd de backup tem um arquivo com 200gb de dados....criptografado tb...mas nao pelo rar...

    amanha quero focar neste arquivo....


    This information is desinformation

    terça-feira, 16 de julho de 2013 01:15
  • Leonardo depois deixe-nos saber os resultados da operação. como vai ser, porque pelo andar vou ter que pagar também! esta muito complicado! 
    terça-feira, 16 de julho de 2013 01:17
  • Olá pessoal, alguém já postou essa situação para o pessoal da linha defensiva, empresas de antivirus, olhar digital? De repente eles tem alguma solução
    terça-feira, 16 de julho de 2013 01:22
  • Alguém tentou algum tipo de Dissambler do exe? hoje não pensei nisso..pensei agora!

    This information is desinformation

    terça-feira, 16 de julho de 2013 01:27
  • Sou de Sp... pegou meu banco sql, meus bkps também mesmo estando em um drive na nuvem conectado, ja tentei todos os tipos de solução, agora estarei enviando o hd para que um especialista possa tentar recuperar o arquivo deletado depois de ser criptografado. Do mais, tentei contato pelo tal email mais não obtive respostas. Alguem tem novidades?
    terça-feira, 16 de julho de 2013 01:50
  • Pessoal, alguem pagou os 3 mil? Por Favor, postem o resultado.. pois já fiz de tudo também e nada. Tenho 2 alternativas que não são garantia: 1 - Pagar os 3 mil e contar com a sorte; 2 - Levar os Hds para que sejam restaurados ( que também não tenho certeza );

    Alguem pagou o deu certo? Vi comentarios mais acima deste post que o cara envio o arquivo descompactado e tals... isso procede?

    Estamos todos no mesmo barco. Juntos ajudaremos todos!


    VictorNascimento

    terça-feira, 16 de julho de 2013 02:14
  • Vejam nesse site de noticias da Austrália. fala como o homem virus trabalha! tem ate diálogos dele de emails.

    link do site verificado com Virustotal - Sem vírus! 

    http://news.ninemsn.com.au/national/2012/11/27/14/44/criminals-hold-aussie-computer-files-hostage/

     
    terça-feira, 16 de julho de 2013 02:25
  • Alguem tentou levar o hp para recuperação?

    terça-feira, 16 de julho de 2013 02:42
  • gente... vamos pensar!!!!!

    seguinte... consigo renomear de boa... somente usando usuario administrador!!!! usuario padrao nao rola!

    nao precisa pagar... 

     [e so apaga a extensao depois do ponto exemplo...  planilha.xls(hahahahahaha)

    tira O (hahahahaha) que funciona!

    EM USUARIO ADMINISTRADOR

    terça-feira, 16 de julho de 2013 12:04
  •  Esta mensagem que esta aparecendo nos servidores de 3 clientes da empresa que trabalho Ja tentei usar força bruta mas deixando o programa executando durante 2 dias inteiros e não estava passando dos 10% se alguém tiver algo novo para informar .

    Atenção! O acesso ao computador é limitada. Seus arquivos foram criptografados.

    Você já vê que seus arquivos são criptografados e desktop bloqueado?

    Por favor, não entre em pânico e envie-nos e-mails irados ou nos assustar para enviar reclamações em polícia, fbi ou outros - isso é inútil.

    Por favor, leia estas instruções cuidadosamente, então você vai ter respostas para a maioria de suas perguntas.
    Nós não respondemos a questões que já foi respondida neste instruções. Não perca o nosso e seu tempo.
    Perguntas estúpidas como - "Eu tenho de backup e só precisa de 1-2 arquivos e pode pagar só 500,1000,1500 $ USD etc, temos uma pequena empresa, esse valor é muito alto" - será ignorada.
    Tem backup - restaurar seus arquivos a partir dele.

    Sabemos que na maioria dos casos, isso é mentira, você não tem backups e apenas tentando nos enganar para obter descontos e pagar menos quantidade.
    Nosso preço minimal para seus arquivos de é de 4000 $ USD. Nós não temos senhas de graça ou por 500,1000,1500 $ USD etc Nós sabemos que você tem dinheiro.
    Informação para pessoas que acreditam que os profissionais podem descriptografar os arquivos:

    **** Agora só podemos obter a verdadeira senha para decifrar todos os seus arquivos.
    Você pode escrever para Dr.Web, Eset, Panda e outros antivírus e empresas de segurança ou datarestore, mas agora isso é inútil. Este "Anti-Porn Criança Spam Proteção - versão 2.0" que é de 2013/03/22 - mais de três meses se passaram e ninguém ajudou a obter a senha ou descriptografar os arquivos. Sim, sabemos que houve a vulnerabilidade para gerar a senha na versão anterior, usando os nossos nomes pastas de software que foi gerada utilizando o mesmo gerador pseudo-aleatório que foi gerar senhas.
    Agora, para gerar pastas nomes não utilizando quaisquer geradores. Também senha gera usando tanto geradores pseudo mais criptográfico gerador pseudo-seguro.
    Se você não vai pagar nos esqueceu seus arquivos para sempre. Vulnerabilidade geração de senha fixa e não está usando arquivos rar AES com senha muito forte e isso é irreal de crack. Se você não acredita em fóruns sobre rar ler - há apenas uma maneira de quebrá-la - use bruteforce, mas isso é só na teoria, porque a senhas irracionais, como o utilizado por nós é necessidade trilhões anos, mesmo se você vai usar todos os computadores Mundo.
    Pode ser que você pense que você pode encontrar a senha no seu servidor? Não, a senha será copiada por nós e apagados com segurança. Arquivos de origem, fixe excluídos - software de restauração de dados não irá ajudá-lo.
    Claro que você não acredita em nossas palavras, para ler fóruns ou pedir cryptologists. Now arquivos criptografados, usando o nosso software (winrar + senha muito forte usando novo direito e método seguro geração) está bloqueado para sempre, ninguém vai ajudá-lo a, todos os fala como - Nós não podemos ajudar agora mas nós vai escrever você, se nós irá encontrou o método para gerar palavra-passe etc é ********. Se fosse possível para obter a senha e decifrá-lo já estava ser feito, mas mais do que três meses se passaram e não houve resultados. Eles simplesmente não quer reconhecer a sua derrota completa.
    Além disso, você pode ler on bleepingcomputer.com forum cerca de-1 sha método de degradação multi-rodada a qual foi usando para gerar palavra-passe no versão anterior este é ******** postar para nos enganar, nós já sabemos o verdadeiro vulnerabilidade e era successefully fixa-lo.
    P.S. Nosso software é não gosta de outros codificadores que normalmente serão rachados e arquivos serão decifrados dentro de 1-2 semanas. Não tente de usar ferramentas de descriptografar para outras encryptors, isso é realmente ******** a acreditar de que este será ajuda. Nosso software é único e agora se chama: "Porn Anti-Spam Proteção Criança - versão 2.0 a partir de 2013/03/22" versão anterior chamada simples "Anti-Porn Criança Proteção Spam".
    Outras informações sobre por que você bloqueado, nossas garantias sobre descriptografar seus arquivos após o pagamento, Sobre o pagamento e outra informação que você pode ler abaixo, basta rolar para baixo.
    Últimas Atualizações (lição aprendida, bugs corrigidos).
    Você tem Antichild Spam Porn Proteção 2.0 de 2013/03/22. O que há de novo?
    1. Agora temos duas gerados aleatoriamente senhas seguras de criptografia, ao contrário da versão anterior, quando será a chance de gerar senhas em determinadas circunstâncias. Agora gerar senha é impossível em todos os casos.
    2. Agora, os arquivos são criptografados usando duas gerados aleatoriamente senhas seguras de criptografia 80-114 caracteres, ao contrário de uma senha de 55 caracteres e não de criptografia segura gerador de números pseudo-aleatórios em que a versão anterior.
    Agora olhar password é assim:
    Em primeiro lugar de senha: 9DF19AB897351C2A0A0FE18A6A73722EDM66BSAl3jBe2a3K8L275j34525b3 & E = 4RDP4-9y8Q1j3zD a9G9u3bD04t4dFuEO7M2% 4zFT
    (104 caracteres)

    Segundo a senha: 6B1783B4656C5433B430F2CC28070B4E6 ^ 1HDq9JEV1 9 L0SFr9 (6aDu3rF8Cg6X7gC3F # D07LAxFgA D7 & 9g1% 6S4k4YFzEm7 ^ 2g4PF * C% 9y2T92
    (112 caracteres)
    **** Agora só podemos obter a verdadeira senha para decifrar todos os seus arquivos.
    Você vai ler nesta instruções sobre:
    1. Por quê?
    2. Nossas Garantias
    3. Informações Gerais
    4. Sobre o pagamento
    5. Como obter seus dados de volta
    6. Como processo de descriptografar trabalho
    1. Por quê?
    Detectamos Spam anuncia sites ilegais com pornografia infantil em seu computador.
    Isto contradiz a lei e prejudicar outros usuários da rede e, neste caso, temos que fazer os próximos passos:
    1. Bloquear o acesso a seu desktop.
    2. Criptografar os arquivos usando Advanced Encryption Standard e 256 symblols senha gerada aleatoriamente e excluir arquivos de origem usando DOD 5220.22-M.
    (DoD 5220.22-M é o Departamento de Defesa clareando e esterilizando padrão - Você não pode recuperar seus arquivos - NUNCA).
    3. Enviou esta senha gerada aleatoriamente para o nosso servidor seguro e excluir essa senha de seu computador. (Você não pode começar essa senha NUNCA)
    Esta senha é única para cada computador e armazenado no nosso servidor seguro (e, em seguida, apagar a partir deste servidor e enviar para nós) e em cada arquivo criptografado.
    **** Atenção! Não exclua os arquivos de configuração de software, porque ele pode iniciar o processo de criptografar novamente e não podemos levá-lo a garantia de que vamos decifrar todos os seus arquivos! Neste caso, você pode ser parte frouxa de seus arquivos para sempre. Se você não sabe o que fazer - melhor não fazer nada. ****
    2. Nossas Garantias

    Você pode enviar um arquivo criptografado (jpg ou bmp ou outra imagem, sem um documento ou não algum arquivo importante para você) para nós e assim que decifrar-lhes que enviá-los para você e ele vai provar que somos capazes de decifrá-los tudo. Por favor, não enviar dados importantes, como bancos de dados, etc para decifrar, porque se vamos decifrá-lo e enviar para você - você vai nos pagar $ 0.

    Tivemos descriptografar os arquivos de bases de dados para algumas pessoas e depois disso eles não nos pagar qualquer dinheiro.
    Depois você vai nos pagar, com certeza nós damos-lhe descriptografar senhas e ferramentas e, claro, você pode decifrar todos os seus arquivos, incluindo arquivos de bancos de dados.

    Para enviar arquivo para nos melhor usar sendspace.com (basta fazer o upload e envie o link para nós), porque gmail pode bloquear todas as extensões EXE..

    Nossa garantia é descriptografar o arquivo.

    Então, nós não precisamos de bloquear seus arquivos para sempre, só precisamos de um dinheiro para o nosso trabalho.

    Também nos enviar o seu número de identificação.
    3. Informações Gerais

    Você vai precisar de comprar algum ecurrency (igual 4000 $ USD) em algum sistema de pagamento na internet. 4000 $ USD é um preço mínimo e não pode ser menos, não os descontos, mesmo se você só precisa de um arquivo. Quando chegarmos pagamento nós lhe enviaremos senhas e ferramentas de decodificação para desbloquear todos os seus arquivos.

    Você pode enviar arquivos ou do computador para os peritos ou empresas de antivírus, empresas de recuperação, mas você acabou de perder o seu tempo, dinheiro e nervos.

    Você pode ir à polícia ou do FBI ou de outros departamentos - mas isto é não vai ajudar você, estamos trabalhando cerca de 12 mês e ninguém pode nos acompanhar, porque estamos trabalhando com cadeia de servidores em diferentes países e usando apenas offshore de internet ecurrency sistemas de pagamento como o método de pagamento (Não aceitamos Western Union ou transferência bancária diretamente para nós, porque não é seguro para nós.) e dinheiro retirada usando anônimas offshore contas bancárias e cartões de ATM pertencem a outras pessoas.

    4. Sobre o pagamento

    Você vai precisar de comprar algum ecurrency (igual 4000 $ USD) em algum sistema de pagamento na internet. Nós não vamos aceitar Western Union ou transferência bancária diretamente para nós, porque não é seguro para nós. Contacte-nos e nós lhe daremos as instruções de pagamento.

    5. Como obter seus dados de volta

    Você já tiver ver arquivos como por exemplo database.mdb (!! Para descriptografar e-mail ID de 1111111 para ouremail-at-gmail.com!!). Exe
    Endereço de email modificada - Hayton
    Isto é cerca de 256 símbolos protegido por senha AES arquivo contém o arquivo.

    Você só precisa de senha para decifrá-lo e obter o arquivo original a partir deste arquivo.

    Como criptografar processo de trabalho:

    1. Por exemplo database.mdb é o arquivo wich source vontade criptografado para database.mdb (!! Para descriptografar e-mail ID de 1111111 para ouremail-at-gmail.com!!). Exe
    Endereço de email modificada - Hayton

    2. Então arquivo original database.mdb secure apagados do seu disco rígido usando setores owerwriting.

    3. Arquivo original database.mdb agora AES arquivo protegido por senha.

    Isso é impossível de quebrar arquivo com senha como esta (este não é 6-8 símbolos senha simples, e tem trilhões de combinações de bruteforce e 1000000 anos de brute-lo).

    Isto senhas é único e gerado aleatoriamente para cada computador.

    Também tome cuidado para garantir senha apagar do seu sistema, anteriormente tinha senha de cópia em nosso banco de dados, é claro.

    Após o pagamento (e, mais uma vez, somente após o pagamento), vamos levá-lo descriptografar senhas e ferramentas, assim você não terá que decifrar cada arquivo manualmente. Basta executá-lo em seu servidor e seus arquivos serão decifrados em todas as unidades de disco.

    6. Como processo de descriptografar trabalho

    1. Você vai colocar duas senhas dadas por nós na ferramenta de decifrar e iniciá-lo.

    2. Nossa ferramenta de decifrar a varredura de seus discos rígidos para arquivos como database.mdb (! Para descriptografar e-mail id 1111111 para ouremail-at-gmail.com!). Exe

    3. Criptografar arquivos como database.mdb (! Para obter a senha de e-mail id 1111111 para ouremail-at-gmail.com!). Exe, então você vai ficar unencypted arquivo original database.mdb

    4. Excluir descriptografado database.mdb (! Para obter a senha de e-mail id 1111111 para ouremail-at-gmail.com!). Exe porque você não vai precisar mais do arquivo descriptografado, você terá seu arquivo original database.mdb
    Os endereços de email modificada pela - Hayton

    Também você vai obter o código de desbloqueio de desktop e você pode executar a ferramenta descriptografar.

    Obrigado.

    terça-feira, 16 de julho de 2013 12:09
  • ByBonnes!!!!

    Fiz a mesma coisa que você, ele volta para a extensão normal, mas não abre.. esta corrompido...

    Você conseguiu abrir normalmente??

    terça-feira, 16 de julho de 2013 12:13
  • bom dia...galera...

    executei tb n coisas e nada....rodei os programas da panda, kav, todos eles apenas se vc tiver o serial vc coloca nele..e ele "aplica" nos exe...convertendo em original....

    agora o que preocupa é se até a winrar ja deu um parecer que nao consegue fazer nada....ferrou

    quanto ao email do cara..se analisar todos sao iguais..só muda a sigla antes...

    ou seja é o mesmo grupo...


    This information is desinformation

    terça-feira, 16 de julho de 2013 12:21
  • eu tambem fui vitima essa praga o hd inteiro infectado

    se tiver algum resultado posta ae por favor

    terça-feira, 16 de julho de 2013 12:34
  • Pessoal,

    Alguem chegou a enviar um arquivo de teste para ele e teve retorno positivo? ou Alguem pagou e teve sucesso?

    Por favor, quem fez alguma destas operações publiquem!


    VictorNascimento

    terça-feira, 16 de julho de 2013 13:38
  • Aguardando alguma solução também

    terça-feira, 16 de julho de 2013 14:15
  • Caros Amigos acabei de receber um cliente para recuperação de dados e infelizmente além do hard disk estar com problemas o mesmo também apresentou o mesmo vírus  (!! to get password email id 886300843 to brsechvs@gmail.com !!).exe ,graças a ajuda do verdadeiro Deus consegui restaurar os arquivos foi bem trabalhoso e só com o uso de Assembler qualquer duvida acesse www.institutodohd.com.br
    terça-feira, 16 de julho de 2013 15:38
  • Caros Amigos acabei de receber um cliente para recuperação de dados e infelizmente além do hard disk estar com problemas o mesmo também apresentou o mesmo vírus  (!! to get password email id 886300843 to brsechvs@gmail.com !!).exe ,graças a ajuda do verdadeiro Deus consegui restaurar os arquivos foi bem trabalhoso e só com o uso de Assembler qualquer duvida acesse www.institutodohd.com.br

    Marcos, poderia passar para o pessoal do Forum o caminho a ser seguido?

    Grande abraço

    terça-feira, 16 de julho de 2013 15:43
  • Caros amigos essa ideia de colocar um vírus e criminosa espero que o autor realmente seja identificado e detido pois e um calhorda ja sei como criptografar e se alguém precisar de ajuda e só contactar nos

    www.institutodohd.com.br

    terça-feira, 16 de julho de 2013 15:45
  • Cara prefiro pagar para quem achou como fazer do que pagar pra bandido....

    se nao tiver como passar, diga quanto cobra pela informacao da solucao...estamos no aguardo


    This information is desinformation

    terça-feira, 16 de julho de 2013 16:16
  • exatamente, poderia ver um valor e fecharmos um acordo e faríamos esse pagamento pela informação. 
    terça-feira, 16 de julho de 2013 16:47
  • Enviei um email pro Marcos com anexo agora vamos ver se ele consegue resolver, tomara que sim!
    terça-feira, 16 de julho de 2013 17:18
  • Caros amigos essa ideia de colocar um vírus e criminosa espero que o autor realmente seja identificado e detido pois e um calhorda ja sei como criptografar e se alguém precisar de ajuda e só contactar nos

    www.institutodohd.com.br

    Marcos, você conseguiu recuperar o HD atacado pelo virus ou descriptografar os arquivos ?

    Se conseguiu descriptografar os arquivos, favor informar, assim te envio algum arquivo e a gente fecha negócio, se recuperou os arquivos apagados isso não dá garantia a todos pois depende do estado de cada HD. 

    No aguardo.

    terça-feira, 16 de julho de 2013 18:08
  • Me ferrei nessa também.

    Mandei o e-mail, e o cara não abre mão dos US$ 3000.

    Mandou a forma de pagamento (perfectmoney.is) e mandei um arquivo e o cara devolveu descompactado.

    Agora meu dilema é pagar ou não...

    Amigo,

    você chegou a fazer o pagamento? como ficou a situação?


    VictorNascimento

    terça-feira, 16 de julho de 2013 18:53
  • Seguinte, vou relatar o que sei até agora:

    Isto é uma invasão e não simples caso de vírus. Ao que tudo indica o invasor usa brute force na senha do Administrador via Terminal Server (RDP). Por tanto qualquer windows server parece estar vulnerável desde que não tenha limite de tentativas de logon (parece que por padrão o windows server 2003 tem a funcionalidade desativada, daí o grande número de ocorrência com este, mas não indica que o 2008 está livre, uma vez que a diretiva pode ser modificada pelo usuário).

    O invasor ao ganhar acesso na conta administrador instala MANUALMENTE o aplicativo que impede a inicialização de um perfil de usuário, mostrando a mensagem com instruções para obter a senha dos arquivos COMPACTADOS. O mesmo aplicativo é persistente e usará o SDelete da sysinternals para LIMPAR os setores do HD onde se encontram arquivos em que O CAMINHO contenha qualquer termo relacionado a banco/arquivo de dados (sql, dat, mdb, xml, xls)... notei que arquivos DAT menores que 35mb são mantidos intactos, já SQL, mesmo que 1kb, foi compactado.

    NÃO ADIANTA RENOMEAR. o arquivo gerado é executável, package do winrar, que contém um arquivo compactado rar protegido por senha AES. O arquivo antigo se encontra compactado (nível 0) neste RAR. Logo, somente com a senha será possível descompactar.

    Brute force no arquivo é inútil. São 3 senhas possíveis. 2 contém mais de 110 caracteres contendo símbolos, minúsculas, maiúsculas e números (1 menor, mas não faço idéia de qual critério foi usado para inserir as senhas). Nenhum computador encontrará a senha antes que você morra de velhice!

    Recuperar o arquivo por app undelete não resolve. Pesquise por SDelete Sysinternals.

    O autor da invsão RESPONDE os e-mails rapidamente. Irá te passar o valor atualizado para obter as senhas (todas as 3), e dará a oportunidade de você enviar um anexo como prova de que o mesmo tem a senha, lhe enviará o arquivo original em menos de 5 minutos. (creio que seja automático). O arquivo retornado terá o nome da pasta raiz na unidade, e terá todos subdiretórios e o arquivo dentro. Será um arquivo RAR. ELE não responderá caso o arquivo enviado seja um arquivo de dados (sql, mdb, etc). Enviei um PHP o qual não tinha backup (caiu na trama, pois carregava SQL no nome).

    Se você não pretende pagar, tem backup mas falta algo que "foi pro saco", pense bem antes de enviar o arquivo para que ele retorne como prova. Ele não fará isso 2 vezes ao que tudo indica. É a chance de recuperar ao menos um arquivo e poupar 1 dia de trabalho extra.

    ****As mensagens respondidas parecem ser automáticas.

    Os endereços IP detectados durante a invasão são por todo canto da Ásia, parecem ser todos de proxy. Um deles era do Canadá. Supostamente ele levou menos de 6 horas para encontrar a senha do administrador em nossos servidores, iniciou o ataque às 13h (portas RDP, SSH e POP) e o primeiro arquivo compactado foi criado às 19h, tendo término às 9h do dia seguinte.

    Ele mantém uma lista de TODOS os arquivos compactados em mãos. Parece não obter dados além dos necessários para invasão e reversão do feito (porém mudar as senhas de TODOS os serviços relacionados ao servidor é aconselhável).

    Desativamos todo o acesso externo aos servidores para que o mesmo não volte a atacar, pois precisamos realizar auditoria para descobrir mais falhas além da senha curta e simples que o administrador tinha (menos de 10 caracteres, todos números!!!!!!!).

    NÃO APAGUE OS ARQUIVOS GERADOS DURANTE A INVASÃO SE PRETENDE FAZER ALGO ALÉM DE RESTAURAR BACKUP. Apagar os arquivos pode inutilizar perfis de usuários bem como não possibilitar a inicialização normal do servidor. Iniciar por modo seguro não ocorrerá uma vez que é instalado o vírus NoSafeMode. Necessária recuperação do registro para remover o vírus.

    Qualquer pasta/arquivo/unidade contendo BACKUP ou TEMP no caminho (diretório + arquivo) serão apagados (por SDelete) na invasão, logo backup só se for externo ou oculto!

    Minha salvação foi um backup oculto ao usuário administrador. O mesmo ficou intacto, o que leva a crer que realmente é um ataque ao RDP/Administrador.

    Chega de texto, e boa sorte a todos!

    terça-feira, 16 de julho de 2013 19:09
  • Boa tarde pessoal

    aconteceu o mesmo comigo e pagamos atravez do Perfect money (deu trabalho) e ele imediatamente mandou as três senhas e o programa para descriptografar. Agora pra completar ele me indicou ESSE FORUM e pediu que eu informasse que não é vírus pode ?  Isso confirma que o cara é bemmm informado.

    No nosso caso ele apagou tb o backup do hd externo.

    A empresa não queria pagar também, mas após 3 dias sem conseguir faturar bateu o desespero.

    terça-feira, 16 de julho de 2013 20:17
  • Boa tarde pessoal

    aconteceu o mesmo comigo e pagamos atravez do Perfect money (deu trabalho) e ele imediatamente mandou as três senhas e o programa para descriptografar. Agora pra completar ele me indicou ESSE FORUM e pediu que eu informasse que não é vírus pode ?  Isso confirma que o cara é bemmm informado.

    No nosso caso ele apagou tb o backup do hd externo.

    A empresa não queria pagar também, mas após 3 dias sem conseguir faturar bateu o desespero.

    Amigo, boa tarde.

    Estou no mesmo dilema. Gostaria de manter contato com você para pegar instruções. pode ser? meu e-mail é: victornds@hotmail.com.


    VictorNascimento

    terça-feira, 16 de julho de 2013 20:32
  • me adciona ai tambem passei pelo mesmo

    dvdcoelho@hotmail.com

    terça-feira, 16 de julho de 2013 20:48
  • Boa tarde pessoal

    aconteceu o mesmo comigo e pagamos atravez do Perfect money (deu trabalho) e ele imediatamente mandou as três senhas e o programa para descriptografar. Agora pra completar ele me indicou ESSE FORUM e pediu que eu informasse que não é vírus pode ?  Isso confirma que o cara é bemmm informado.

    No nosso caso ele apagou tb o backup do hd externo.

    A empresa não queria pagar também, mas após 3 dias sem conseguir faturar bateu o desespero.

    Olá, 

    Como citado acima, trata-se de invasão mesmo, por um tempo antes do ataque observei que havia inúmeras tentativas de acesso ao RDP, como estávamos migrando o servidor, desconsiderei o fato, não perdemos muita coisa, o que perdemos foi só um exaustivo e imenso trabalho de digitação.

    De acordo com o site 9News (link acima) um script é rodado de vários locais do mundo, rastreando os IPs e explora uma vulnerabilidade de acesso remoto. 

    Servidores que mantém suas senhas como Administrador, 123, 1234567890, P@ssw0rd, master, admin, abc123 e outros são os mais atacados, altere as senhas para combinações não-lógicas e comprimento superior a 12 caracteres. 

    As senhas para descriptografar são geradas aleatoriamente e enviadas para o próprio autor que identifica por um id que está no próprio arquivo. 

    Tudo o que o autor do virus declara parece ser verdade, estou a uma semana buscando informações sobre o ataque e todas as informações que ele passou corresponde ao que testei, é uma falha de segurança que todos nós já sabíamos que existia, o cara explorou a vulnerabilidade. Ex: quem faz backup em HD externo para baratear o custo com Fitas DAT/LTO e deixa gravando de madrugada? ou faz backup em HD slave pois a empresa não quer pagar um backup? e muitas vezes o servidor é usado como desktop pelo "dono" da empresa.

    São conceitos que nós, especialistas em TI, temos que mudar. Não baixe a segurança da sua rede. Valorize a sua função dentro da empresa.

    terça-feira, 16 de julho de 2013 21:03
  • Kartnobre, boa noite!! Estou com o mesmo problema. Minha empresa só nao parou pq ela é pequena. Os dados que perdi já estão sendo digitados novamente. Gostaria de fazer um contato para saber como foi a negociação... É Possível??
    terça-feira, 16 de julho de 2013 21:17
  • Amigo, você pagou? é isso??
    terça-feira, 16 de julho de 2013 21:19
  • caros amigos verificamos que e possível descriptografar alguns arquivos manualmente usando editores hexadecimais ,o importante e nao apagar os arquivos nem formatar o HD deste modo e possível no HD original usando um editor de Assembler e lendo a assinatura digital do arquivo infectado e reescrevendo com a assinatura digital original ,o importante e não apagar o HD este mesmo programa apaga os .bkf,a solução mais apropriada e recuperar estes arquivos serviço esse que nos já realizamos com sucesso .qualquer duvida nos contateno acima de tudo agradecemos a colaboração de incontáveis amigos que nos colocarão bem a par desta nova nova praga ,obrigado a todos www.institutodohd.com.br
    terça-feira, 16 de julho de 2013 21:34
  • Tivemos sucesso em recuperar os backups apagados ,por favor não subscreva o HD com os backups nos conseguimos recuperar mas para tanto e necessário preservar o HD www.institutodohd.com.br
    terça-feira, 16 de julho de 2013 21:38
  • Oi victor mandei um e-mail pra voce, se eu puder ajudar em algo.

    Estamos todos no mesmo barco, se o rapaz do isntitutodohd realmente conseguiu resolver essa pode ser uma solução tamebm

    abraços

    terça-feira, 16 de julho de 2013 22:02
  • manda um email pra mim kartnobre@gmail.com

    se eu puder ajudar

    abraços

    terça-feira, 16 de julho de 2013 22:03
  • eu não a empresa pagou, eu apenas intermediei o assunto em função do nervosismo do pessoal, da dificuldade da lingua e do desconhecimento do pessoal da area de informatica na area de remessas financeiras  (já fui da area tecnica e agora estou na area de comercio exterior)

    Se puder ajudar,  passamos uma semana sem saber mais o que fazer.

    abraços

    terça-feira, 16 de julho de 2013 22:05
  • infelizmente sim, tentamos com varios programas para tentar desbloquear os arquivos e nada.
    terça-feira, 16 de julho de 2013 22:09
  • vou enviar meu hd para o instituto. fiz contato eles pedem para enviar o HD. vou ver o que vai dar! 
    terça-feira, 16 de julho de 2013 22:16
  • manda sim, so acho que deve fazer umas copias dos arquivos em outro hd Just in case
    terça-feira, 16 de julho de 2013 22:26
  • Amigo, você pagou? é isso??

    eu não a empresa pagou, eu apenas intermediei o assunto em função do nervosismo do pessoal, da dificuldade da lingua e do desconhecimento do pessoal da area de informatica na area de remessas financeiras  (já fui da area tecnica e agora estou na area de comercio exterior)

    Se puder ajudar,  passamos uma semana sem saber mais o que fazer.

    abraços


    terça-feira, 16 de julho de 2013 22:27
  • Boa tarde pessoal

    aconteceu o mesmo comigo e pagamos atravez do Perfect money (deu trabalho) e ele imediatamente mandou as três senhas e o programa para descriptografar. Agora pra completar ele me indicou ESSE FORUM e pediu que eu informasse que não é vírus pode ?  Isso confirma que o cara é bemmm informado.

    No nosso caso ele apagou tb o backup do hd externo.

    A empresa não queria pagar também, mas após 3 dias sem conseguir faturar bateu o desespero.

    informar no fórum ou no tópico???? se for tópico o cara é BR! abram o olho com as propagandas que tá rolando aí pessoal!!!
    • Editado Paulo F Jr terça-feira, 16 de julho de 2013 22:58 post = tópico
    terça-feira, 16 de julho de 2013 22:56
  • Boa tarde pessoal

    aconteceu o mesmo comigo e pagamos atravez do Perfect money (deu trabalho) e ele imediatamente mandou as três senhas e o programa para descriptografar. Agora pra completar ele me indicou ESSE FORUM e pediu que eu informasse que não é vírus pode ?  Isso confirma que o cara é bemmm informado.

    No nosso caso ele apagou tb o backup do hd externo.

    A empresa não queria pagar também, mas após 3 dias sem conseguir faturar bateu o desespero.

    informar no fórum ou no tópico???? se for tópico o cara é BR! abram o olho com as propagandas que tá rolando aí pessoal!!!

    Ele mandou o link do topico em si e disse que não fala portugues mas tinha ENTENDIDO que tavam achando que ele era um virus
    terça-feira, 16 de julho de 2013 23:00
  • Boa tarde pessoal

    aconteceu o mesmo comigo e pagamos atravez do Perfect money (deu trabalho) e ele imediatamente mandou as três senhas e o programa para descriptografar. Agora pra completar ele me indicou ESSE FORUM e pediu que eu informasse que não é vírus pode ?  Isso confirma que o cara é bemmm informado.

    No nosso caso ele apagou tb o backup do hd externo.

    A empresa não queria pagar também, mas após 3 dias sem conseguir faturar bateu o desespero.

    informar no fórum ou no tópico???? se for tópico o cara é BR! abram o olho com as propagandas que tá rolando aí pessoal!!!


    Ele mandou o link do topico em si e disse que não fala portugues mas tinha ENTENDIDO que tavam achando que ele era um virus
    uhuhuhuh valeu! acho que até compensa fazer BO então. os dados estão OK, mas o ódio desse cara tá grande!
    terça-feira, 16 de julho de 2013 23:13
  • Olá kartnobre, se possivel poste aqui o programa que ele te enviou para descriptografar esses dados, podemos trabalhar sobre este programa, para procurar uma solução para os demais
    terça-feira, 16 de julho de 2013 23:29
  • Amigao voce pago????

    Eu consegui fazer o cadastro no perfety money entrei ooutr site mas na consegui.

    A empresa esta diposta pagar.

    Ele mando a senha??? Voe cobra pra e ajudar a pagar?

    entre en contato comigo.

    ruben info75 com br

    terça-feira, 16 de julho de 2013 23:31
  • Sim amigão, usa o GetDataBack, excelente programa para recuperação de arquivos após formatação. Caso precise do arquivo me comunicar por favor.
    quarta-feira, 17 de julho de 2013 00:27
  • Galera...
    Vi esse caso também...

    Percebi que o vírus, ou seja lá como for chamado. Cria duas pastas ocultas com números na raiz do HD, quando voce apaga essas pastas, e ate mesmo do registro, quando o micro religa tudo é recriado.

    Essa pasta tem alguns arquivos, que parece que são os usado para compactar os arquivos.

    Não sei se seria viável, mas será que podemos tentar desassemblar esses arquivos, com um software de engenharia reversa por exemplo?

    Estava pensando em fazer o seguinte teste...

    1. Colocar na raiz um arquivos JPG ou BMP atráves de um LiveCD.

    2. Reiniciar o micro para ver se esse arquivo foi compactado

    3. Se o arquivo foi compactado, otimo. Quer dizer que o compactador que ele utiliza está no micro, ou seja, podemos localiza-lo.

    4. Se o arquivo nao foi compactado podemos pensar que é realmente uma invasao manual, e depois que os arquivos sao criptografados o invasor apaga o programa que ele utiliza para criptografar... Dai não vai ter como desamblarmos ele

    O que me sugerem? Prossigo com essa tentativa de desassemblar ou é tempo perdido?

    quarta-feira, 17 de julho de 2013 00:42
  • Galera...
    Vi esse caso também...

    Percebi que o vírus, ou seja lá como for chamado. Cria duas pastas ocultas com números na raiz do HD, quando voce apaga essas pastas, e ate mesmo do registro, quando o micro religa tudo é recriado.

    Essa pasta tem alguns arquivos, que parece que são os usado para compactar os arquivos.

    Não sei se seria viável, mas será que podemos tentar desassemblar esses arquivos, com um software de engenharia reversa por exemplo?

    Estava pensando em fazer o seguinte teste...

    1. Colocar na raiz um arquivos JPG ou BMP atráves de um LiveCD.

    2. Reiniciar o micro para ver se esse arquivo foi compactado

    3. Se o arquivo foi compactado, otimo. Quer dizer que o compactador que ele utiliza está no micro, ou seja, podemos localiza-lo.

    4. Se o arquivo nao foi compactado podemos pensar que é realmente uma invasao manual, e depois que os arquivos sao criptografados o invasor apaga o programa que ele utiliza para criptografar... Dai não vai ter como desamblarmos ele

    O que me sugerem? Prossigo com essa tentativa de desassemblar ou é tempo perdido?

    Amigo, o Marcos colocou acima um post no qual ele conseguiu recuperar já alguns arquivos, via assembler alterando a assinatura digital do arquivo e funcionou!! Acho que o caminho é esse mesmo
    quarta-feira, 17 de julho de 2013 00:49
  • Mauricio, 

    Eu não havia pensado nisso, eu pensei em descobrir a senha que ele utilizou através da engenharia reversa.

    O invasor disse que ele envia para a pessoa um arquivo, e esse arquivo descriptografa todos os arquivos. Com isso eu suponho que a senha é unica para todos os arquivos do micro infectado.

    Vou testar isto amanhã e posto os resultados

    quarta-feira, 17 de julho de 2013 00:54
  • Salve Amigos

    Baixei o decriptador fornecido pelo sequestrador e pude perceber que este programa que ele fornece para descriptografar os arquivos se comunica com servidores fora do Brasil... no meu caso o arquivo foi buscar instruções num computador da ucrania... com porta de ftp aberta... é fato que usando o programa de descriptografar chegamos no computador do sequestrador. Basta capturar os pacotes enquanto se executa o programa.

    Precisamos de achar alguem capaz de entrar num desses computadores e fazer o contra ataque... pegando os arquivos de controle remoto do sequestrador para saber como parar isso.

    Pode ser um caminho tb desassemblar este arquivo para tentar saber se conseguimos coletar mais dados sobre esta conexao.

    Informação relevante: se vc remover os arquivos que infectaram sua máquina pode ser que nem pagando vc consiga recuperar seus arquivos, então se vc pensa na possibilidade de se submeter ao resgate talvez seja melhor não limpar a praga do computador.

    sds

    Roberto


    quarta-feira, 17 de julho de 2013 01:14
  • Roberto,

    Se o decriptador do cara busca instruções na rede é pq provavelmente a senha realmente não está localmente.

    Sera que é possivel utilizar esse decriptador fora da internet?

    Teremos que testar... Se os arquivos forem compactados mesmo com o micro fora da rede, a senha tem que ta no micro, se não não seria possivel compacta-lo. Caso contrario, não sei o que fazer...

    Encontrar o cara não cabe a nós, para encontra-lo acredito que só instituição com poderes legais. Se a gente encontrar também não ia dar em nada, porque nossos arquivos iam continuar criptografados rs.

    quarta-feira, 17 de julho de 2013 01:21
  • o link é esse: http://fs06n4.sendspace.com/dl/e9ad8a922678589f329e53913fd6cffb/51e59a675074d07d/bocmmz/decryption%20tool%20pass%20123.zip

    o cara mandou para uma pessoa que pagou o resgate e as senhas sao essas

      

    After payment I've got this email:
    Hello

    Your Locker password: 50774634820422162
    1st Decrypt password: CEE75C9E66C0B283F1C5EA8114C0DC4E9oEH2$Do8r4FClCJ4fDwFf9H3p9RBC8E4fC+57B+2YEdDeA6629jEO615GBl9X6j6I9q7a2-BzE67-5C0S
    2st Decrypt password: A14BF346D5681311F4D5EC26BA9A0F0E2C8iFS3C7)FL2hDH7J6a7gFQ8pEYAz3)DM863=Bf572X8Q5gD(8ADPF48D2aE-3lEL3BAcAI9lBm3*2U0t
    3st Decrypt password: Fww*wrFwVFwwL$wqr*FwwL$wqr*

    por obvio como o programa veio de alguem sem confiança, execute com segurança... na minha maquina pareceu não acontecer nada..


    quarta-feira, 17 de julho de 2013 01:31
  • Amigo voce consegui pagar?

    Como pago?

    Me cadastrei no perfetei money, ele manda ir em outro banco fazer o cadastro e nao mandei pra ele confirma se tava certo nao me retorno mais, meu cliente esta afim de pagar. So que nao estou conseguindo fazer essa transferencia.

    quarta-feira, 17 de julho de 2013 01:36
  • baixei o programa mas detectou como "malicioso" ....queria ver se quebro ele....teria que usar um pe explorer por exemplo...agora alguem que pagou...que tenha um bom firewall nao pegou o ip de comunicacao?

    até pq o programa tb pode ser gerado na hora conforme o id que gerou em cada maquina....eu mesmo gero assim nos meus sistemas...

    o pior é que pagar pra ter os arquivos vai incentivar os caras a continuarem a fazer isso...


    This information is desinformation

    quarta-feira, 17 de julho de 2013 01:54
  • o link é esse: http://fs06n4.sendspace.com/dl/e9ad8a922678589f329e53913fd6cffb/51e59a675074d07d/bocmmz/decryption%20tool%20pass%20123.zip

    o cara mandou para uma pessoa que pagou o resgate e as senhas sao essas

      

    After payment I've got this email:
    Hello

    Your Locker password: 50774634820422162
    1st Decrypt password: CEE75C9E66C0B283F1C5EA8114C0DC4E9oEH2$Do8r4FClCJ4fDwFf9H3p9RBC8E4fC+57B+2YEdDeA6629jEO615GBl9X6j6I9q7a2-BzE67-5C0S
    2st Decrypt password: A14BF346D5681311F4D5EC26BA9A0F0E2C8iFS3C7)FL2hDH7J6a7gFQ8pEYAz3)DM863=Bf572X8Q5gD(8ADPF48D2aE-3lEL3BAcAI9lBm3*2U0t
    3st Decrypt password: Fww*wrFwVFwwL$wqr*FwwL$wqr*

    por obvio como o programa veio de alguem sem confiança, execute com segurança... na minha maquina pareceu não acontecer nada..


    Amigo, tentei extrai-lo numa VM sem acesso à rede

    Me pediu senha pra extrair, tentei a 50774634820422162. mas nao deu, como vc extraiu?

    quarta-feira, 17 de julho de 2013 01:57
  • A senha para extrair o decriptador é 123.
    quarta-feira, 17 de julho de 2013 02:39
  • A solução imediata nesse momento  é recuperar dados sem estrutura, a chance é grande e  nesse caso há esperança de recuperar principalmente :

    jpg, docs, zip, xls, ppt, pst, pdf, pst, psd, mov, mpeg.......

    Os mais complicados  são os banco de dados , pode até pegar porém mais antigo , que é justamente o cara que desenvolveu fez para prejudicar, porém descriptografar já falo a vocês é muito difícil nesse momento alguém que tem solução , é provável que esse vírus veem da Chechênia, também conheço  alguns  clientes que pagou e não recebeu a chave correta.... 

    suporte@hospitaldohd.com.br

    quarta-feira, 17 de julho de 2013 03:11
  • um cara fez o "vírus" sera que se nós todos nos empenharmos não vamos conseguir?? é uma comunidade inteira contra um.

    O pessoal inventa jeito de burlar tudo que é programa pago, vamos tentar burlar o vírus do cara ai tbm.

    quarta-feira, 17 de julho de 2013 03:16
  • O problema é que não se trata especificamente de "virus", e sim de uma lógica onde arquivos de dados foram criptografados usando um algoritmo de 256 bits (o que o torna praticamente indecifrável). Existe centenas de grandes corporações tentando uma solução viavel, e por incrivel que pareça, até agora nada.
    quarta-feira, 17 de julho de 2013 03:23
  • parece q foi ele mesmo que criou o software de descriptografar.

    Joguei no google Decryption Utility e não achei nenhum registro do software. 

    O cara que fez isso é inteligente demais, não usou a inteligencia para o bem, mas nunca vi nada assim antes.

    quarta-feira, 17 de julho de 2013 03:23
  • Realmente o software decriptador é novo na praça e acredito que construído para a situação. 
    quarta-feira, 17 de julho de 2013 03:30
  • Amigao voce pago????

    Eu consegui fazer o cadastro no perfety money entrei ooutr site mas na consegui.

    A empresa esta diposta pagar.

    Ele mando a senha??? Voe cobra pra e ajudar a pagar?

    entre en contato comigo.

    ruben info75 com br

    me manda um mail para kartnobre@gmail.com que te ajudo

        abraços

    quarta-feira, 17 de julho de 2013 04:48
  • Salve Ruben

    Eu não paguei não.... peguei as informações de quem já pagou... se olhar para cima neste forum vai achar pessoas que pagaram e que podem te instruir melhor.... 

    sds

    Roberto

    quarta-feira, 17 de julho de 2013 09:14
  • salve Leonardo

    Ate onde eu entendi o programa de decriptação não usa apenas 1 servidor ele pode mudar de conexão a cada acesso.... não notei nada de anormal no meu computador depois de baixar este arquivo nao.... inclusive monitorei todas as conexoes UDP e TCP;

    sds

    Roberto

    quarta-feira, 17 de julho de 2013 09:16
  • Senha 123

    sds

    Roberto

    quarta-feira, 17 de julho de 2013 09:17
  • Quem pretende pagar não deve remover o "vírus" pois se não remover direito pode ser que a senha enviada não sirva mais e neste caso o sequestrador "avisa" que ele não garante a integridade dos dados.

    è mole?

    sds

    Roberto

    quarta-feira, 17 de julho de 2013 09:19
  • kkkk o cara é ousado mesmo.

    Estão falando que ele entra pelo acesso RDP. Então servidores sem esse acesso estão imunes?

    Ele entra apenas pela porta 3389? Se eu alterar o encaminhamento das portas no roteador será que funciona?

    quarta-feira, 17 de julho de 2013 11:38
  • Eu não confio que seja somente pela RDP. Como eu disse, nos nossos servidores tinha acesso na SSH, POP e RDP. Não sei o motivo disso e o real método, mas realmente, o  método provável é a pelo TS.

    Outra coisa: pra quem tá se importando tanto com decriptografar por ter o backup apagado ou coisa assim, pense assim: e se não fosse invasão? e se fosse incêndio? roubo físico? desabamento, furacão, maremoto ou apocalipse zumbi? Não teria nenhuma senha que salvasse ninguém aqui!

    Uma coisa é fato, a brecha de segurança que o cara explorou nos faz abrir o olho pra VAZAMENTO de informação, não deveria ser preocupação com perda de dados, e sim extravio. Num caso de incêndio, o backup na mesma máquina de nada adiantaria. Já me programei aqui pra fazer backup TODO SANTO DIA em hd externo, e levar o bicho pra casa e dormir com ele embaixo do travesseiro. E não custa fazer backup mensal num segundo hd externo também, vai que quando precisa, aquele que vc carrega te deixa na mão. Fato é que a gente acha que nunca vai acontecer, e quando acontece todo mundo chora.

    Além do mais, analisem, o cara foi bonzinho: Os XML's de NFe ficaram intactos!

    quarta-feira, 17 de julho de 2013 12:18
  • Estão dizendo que o cara acessa o servidor através do RDP quebrando a senha do administrador com bruteforce...

    Mas tem um detalhe... Verifiquei com o dono do servidor que esta com esse problema e ele me disse a senha que utiliza... Ele disse que sempre usou essa senha. A senha do cara tem 12 caracteres, mesclados entre maiusculo, minusculo e número, a senha é desse tipo: TechBrBh2013. Acredito que uma senha dessas demoraria meses ou anos para ser quebrada por bruteforce.

    quarta-feira, 17 de julho de 2013 12:24
  • Aliás, vale lembrar que nas rotinas de backup, é essencial fazer o backup com um usuário a parte, transferindo arquivos para uma segunda unidade em uma pasta com permissões de acesso disponíveis SOMENTE pra esse usuário. Foi exatamente isso que me salvou, mesmo que a unidade chamasse BACKUP, o programa do invasor deve ter tentado escrever, não conseguiu e ficou por isso mesmo.

    Outro detalhe: backup com o nome backup já vimos que não funciona! use qualquer nome na pasta que não denuncie ser backup, se possível até renomeio os arquivos em códigos (o daria um trampão na hora de restaurar, mas uma rotina de restauração também cai bem). Seguindo esses passos te deixaria livre contra uma segunda invasão por esse corno, mas como disse: incêndios e zumbis não leem pastas!

    quarta-feira, 17 de julho de 2013 12:25
  • Pessoal

    Façam uma auditoria interna na empresa onde ocorreram os ataques, reúnam o maior número de informação possível, faça também o cruzamento das informações com as auditorias de outros ataques. Esse levantamento sera necessário. Nas empresas que possuem firewall de qualquer tipo tirem relatórios que antecede os ataques e posterior ao ataque cruzem com os logs de tentativas de acesso ao servidores. Depois entre em contato com a ABIN (Agência Brasileira de Inteligência) relate o ocorrido.

    quarta-feira, 17 de julho de 2013 13:11
  • Bom dia PH

    Pode ser qualquer conta de usuario, inclusive a conta de acesso web, IWAN... mas parece que miram as contas de administrador devido ao fato delas terem acesso total.

    O negocio do cara é poder entrar na maquina de alguma maneira, feito isto sabemos que colocar um arquivo pra ser executado pelo windows não é muito dificil.

    Há uma falha que permite tentativas ilimitadas de logon... então já viu... isso pode ser melhorado pelo admin.

    sds

    Roberto

    quarta-feira, 17 de julho de 2013 13:29
  • Abri o executavel do decriptador do sequestrador, alias dos dois, vi alguns codigos parecidos com senhas, mas nao funcionaram...

    estou chegando a duas conclusoes para sair disso:

    1 - sem a policia ou alguem invadir um computador destes que hospedam o mecanismo de descriptografia para sabermos como funciona ou alguma maneira de burlar isto, penso que estamos sem solução, já vi que se comunicam quando vc roda o programa do sequestrador, vi tb que as maquinas remotas respondem por FTP, ainda nao achei mais portas abertas e nem consegui saber que tipo de server ftp está lá.

    2 - desassembler nos arquivos para tentar reverter.... 

    sds

    Roberto

    quarta-feira, 17 de julho de 2013 13:36
  • Galera...
    Vi esse caso também...

    Percebi que o vírus, ou seja lá como for chamado. Cria duas pastas ocultas com números na raiz do HD, quando voce apaga essas pastas, e ate mesmo do registro, quando o micro religa tudo é recriado.

    Essa pasta tem alguns arquivos, que parece que são os usado para compactar os arquivos.

    Não sei se seria viável, mas será que podemos tentar desassemblar esses arquivos, com um software de engenharia reversa por exemplo?

    Estava pensando em fazer o seguinte teste...

    1. Colocar na raiz um arquivos JPG ou BMP atráves de um LiveCD.

    2. Reiniciar o micro para ver se esse arquivo foi compactado

    3. Se o arquivo foi compactado, otimo. Quer dizer que o compactador que ele utiliza está no micro, ou seja, podemos localiza-lo.

    4. Se o arquivo nao foi compactado podemos pensar que é realmente uma invasao manual, e depois que os arquivos sao criptografados o invasor apaga o programa que ele utiliza para criptografar... Dai não vai ter como desamblarmos ele

    O que me sugerem? Prossigo com essa tentativa de desassemblar ou é tempo perdido?

    Fiz esse teste hoje.

    1. Entrei pelo LiveCD, criei 3 arquivos na raiz do C e do D (teste.jpg, teste.txt e teste.bmp)

    2. Liguei o micro, caiu na tela do Anti Spam

    3. reiniciei e entrei no livecd pra ver se tinha convertido em .rar.... nao converteu

    4. liguei o micro de novo na tela do Anti Spam

    5. reiniciei e entrei de novo no livecd. Os arquivos não tinham sido convertidos..

    Parece realmente que ele compacta os arquivos e depois ele se auto-apaga. Se não ele ia ter compactado esses arquivos...

    O invasor deve ter uma tabela com ID e Senhas então... só pode...

    @Roberto

    Depois disso diminuiu muita minha esperança, acho que não vamos conseguir desassemblar nada, pois tudo indica que o arquivo não existe mais

    quarta-feira, 17 de julho de 2013 13:51
  • Eu não confio que seja somente pela RDP. Como eu disse, nos nossos servidores tinha acesso na SSH, POP e RDP. Não sei o motivo disso e o real método, mas realmente, o  método provável é a pelo TS.

    Outra coisa: pra quem tá se importando tanto com decriptografar por ter o backup apagado ou coisa assim, pense assim: e se não fosse invasão? e se fosse incêndio? roubo físico? desabamento, furacão, maremoto ou apocalipse zumbi? Não teria nenhuma senha que salvasse ninguém aqui!

    Uma coisa é fato, a brecha de segurança que o cara explorou nos faz abrir o olho pra VAZAMENTO de informação, não deveria ser preocupação com perda de dados, e sim extravio. Num caso de incêndio, o backup na mesma máquina de nada adiantaria. Já me programei aqui pra fazer backup TODO SANTO DIA em hd externo, e levar o bicho pra casa e dormir com ele embaixo do travesseiro. E não custa fazer backup mensal num segundo hd externo também, vai que quando precisa, aquele que vc carrega te deixa na mão. Fato é que a gente acha que nunca vai acontecer, e quando acontece todo mundo chora.

    Além do mais, analisem, o cara foi bonzinho: Os XML's de NFe ficaram intactos!

    Na empresa de um cliente nosso os XML's não ficaram não... Foi um por um compactado...
    quarta-feira, 17 de julho de 2013 14:27
  • Galera...
    Vi esse caso também...

    Percebi que o vírus, ou seja lá como for chamado. Cria duas pastas ocultas com números na raiz do HD, quando voce apaga essas pastas, e ate mesmo do registro, quando o micro religa tudo é recriado.

    Essa pasta tem alguns arquivos, que parece que são os usado para compactar os arquivos.

    Não sei se seria viável, mas será que podemos tentar desassemblar esses arquivos, com um software de engenharia reversa por exemplo?

    Estava pensando em fazer o seguinte teste...

    1. Colocar na raiz um arquivos JPG ou BMP atráves de um LiveCD.

    2. Reiniciar o micro para ver se esse arquivo foi compactado

    3. Se o arquivo foi compactado, otimo. Quer dizer que o compactador que ele utiliza está no micro, ou seja, podemos localiza-lo.

    4. Se o arquivo nao foi compactado podemos pensar que é realmente uma invasao manual, e depois que os arquivos sao criptografados o invasor apaga o programa que ele utiliza para criptografar... Dai não vai ter como desamblarmos ele

    O que me sugerem? Prossigo com essa tentativa de desassemblar ou é tempo perdido?

    Fiz esse teste hoje.

    1. Entrei pelo LiveCD, criei 3 arquivos na raiz do C e do D (teste.jpg, teste.txt e teste.bmp)

    2. Liguei o micro, caiu na tela do Anti Spam

    3. reiniciei e entrei no livecd pra ver se tinha convertido em .rar.... nao converteu

    4. liguei o micro de novo na tela do Anti Spam

    5. reiniciei e entrei de novo no livecd. Os arquivos não tinham sido convertidos..

    Parece realmente que ele compacta os arquivos e depois ele se auto-apaga. Se não ele ia ter compactado esses arquivos...

    O invasor deve ter uma tabela com ID e Senhas então... só pode...

    @Roberto

    Depois disso diminuiu muita minha esperança, acho que não vamos conseguir desassemblar nada, pois tudo indica que o arquivo não existe mais

    PH

    O arquivo realmente não existe mais, depois de rodar ele se apaga usando SDELETE, ou seja nunca mais vc verá o arquivo novamente e pior os arquivos compactados tb tem os originais apagados com sdelete para que não se consiga quebrar usando heuristica e o bendito do winrar é fácil de quebrar até 5 caracteres depois fica praticamente impossivel... o pessoal do winrar falou que não existe backdoor.

    sds

    Roberto


    quarta-feira, 17 de julho de 2013 14:31
  • galera olha a situacao....no hd de backup meu...ta o arquivo sdel.temp....ou seja..o arquivo temp do sdelete do virus...alguem sabe se consigo extrair o que esta dentro dele, recupera-lo?

    This information is desinformation

    quarta-feira, 17 de julho de 2013 16:30
  • Ninguém ainda com alguma solução????? Meu e-mail é mauricio.lino@hotmail.com.br, caso alguém tenha conseguido descriptografar, me avise.

    Valeu

    quarta-feira, 17 de julho de 2013 18:54
  • Esse ta tipo aqueles casos sem solução...

    A não ser que alguém consiga invadir os servidores dele e peguem os conjuntos ID - Senha...

    Como recuperar uma senha de um arquivo que não existe mais?? acho que impossivel

    quarta-feira, 17 de julho de 2013 19:38
  • aLGUÉM TEM O VIRUS para que eu possa analisar?
    quarta-feira, 17 de julho de 2013 23:49
  • Pessoal, hoje analisando os logs do firewall, notei que sujeito tentou também quebrar a senha do firewall diversas vezes (SSH). E, de alguma forma, os acessos foram cessando conforme funcionários foram chegando na empresa. Cessou completamente quando houve acesso ao firewall por nosso técnico. Só bloqueamos o acesso externo à rede no fim da tarde, o acesso final do invasor foi as 9 da manha, poucos minutos depois que vimos a mensagem que ele deixou.

    Creio que o motivo para a tentativa de acessar o firewall fosse eliminar os rastros que deixaram. Fato é que tem um endereço mac único para todos os IP's que usaram! Vou ver amanhã se não é do roteador ou qualquer outra coisa, pois não entendo absolutamente NADA disso.

    quarta-feira, 17 de julho de 2013 23:52
  • aLGUÉM TEM O VIRUS para que eu possa analisar?

    cara o virus se alto destroi.

    Eu tbm queria fazer isso.

    Depois que ele compacta os dados ele se apaga.

    quarta-feira, 17 de julho de 2013 23:53
  • Na empresa de um cliente nosso os XML's não ficaram não... Foi um por um compactado...

    Acredito que tenham sido compactados por o caminho conter os termos DAT/SQL/LOG/TEMP ou coisa assim, com a gente nem PDF nem XML comprometeu. Bom, talvez isso ocorreu por não terem tido tempo, o expediente começou e parecem ter desconectado o mais rápido possível.
    quinta-feira, 18 de julho de 2013 00:24
  • Bom dia pessoal.

    Na recuperação eu vejo muita dificuldade, porém na prevenção, alguém sugere algo?

    Será que o pfsense resolve?

    Abraço e aguardo respostas e dicas.

    Obrigado.

    quinta-feira, 18 de julho de 2013 12:38
  • bom dia, 

    Tive esse mesmo problema do Anti- Child 2.0.  

    percebi que muitas pastas nao foram cript..... 

    mais toda vez que alguem na rede tentava acessar 1 dos arquivos ele era cript.... na hora.

    tomem cuidado caso aparece, porque quanto mais tentar acessar pior.

    já levei pra alguns lugares e nada até agora.

    estou pensando em pagar, já até fui no banco do brasil pra ver como fazer.

    alguem já pagou?

    quinta-feira, 18 de julho de 2013 12:49
  • Sr. Alcelo,

    Poderia postar a solução, ou pretende cobrar por ela ?

    quinta-feira, 18 de julho de 2013 15:33
  • Alcelo,

    Você vai compartilhar a solução conosco? Estou com o mesmo problema. Detalhe: isolem o computador, por que se você compartilhar algum arquivo, mesmo que não esteja infectado, ele tentará se replicar pela rede.

    quinta-feira, 18 de julho de 2013 15:57
  • Alcelo,

    Você vai compartilhar a solução conosco? Estou com o mesmo problema. Detalhe: isolem o computador, por que se você compartilhar algum arquivo, mesmo que não esteja infectado, ele tentará se replicar pela rede.

    não estou vendo nenhum post do Alcelo, será que foi apagado?
    quinta-feira, 18 de julho de 2013 16:58
  • Bom dia pessoal.

    Na recuperação eu vejo muita dificuldade, porém na prevenção, alguém sugere algo?

    Será que o pfsense resolve?

    Abraço e aguardo respostas e dicas.

    Obrigado.

    Pensei em:

    1 - Reforças senhas administrativas

    2 - Desabilitar o RDP dos servidores que não necessitam de tal para trabalhar

    3 - Habilitar o acesso especifico por IP de origem quando for necessário fazer acesso externo ao servidor

    4 - Realizar backup em mídia somente leitura

    5 - Bloquear acesso a conta por 5 minutos quando errar a senha 2 vezes

    6 - Remover permissão de acesso à pastas do fileserver dos usuários que não o utilizam para trabalho (como administrador por exemplo)

    7 - Criar um usuário para backup sem permissões administrativa

    quinta-feira, 18 de julho de 2013 17:06
  • Bom dia pessoal.

    Na recuperação eu vejo muita dificuldade, porém na prevenção, alguém sugere algo?

    Será que o pfsense resolve?

    Abraço e aguardo respostas e dicas.

    Obrigado.

    Pensei em:

    1 - Reforças senhas administrativas

    2 - Desabilitar o RDP dos servidores que não necessitam de tal para trabalhar

    3 - Habilitar o acesso especifico por IP de origem quando for necessário fazer acesso externo ao servidor

    4 - Realizar backup em mídia somente leitura

    5 - Bloquear acesso a conta por 5 minutos quando errar a senha 2 vezes

    6 - Remover permissão de acesso à pastas do fileserver dos usuários que não o utilizam para trabalho (como administrador por exemplo)

    7 - Criar um usuário para backup sem permissões administrativa

    Não esquece do fogo, do bandido, dos zumbis! Negócio é backup em mídia removível que você possa levar pra casa! Estou fazendo backup do servidor todo em HD externo, mantendo 11 backups (quase 1TB) com um batch simples. Cortei acesso externo por enquanto, mas quando poeira abaixar vou liberar novamente, mas quando for conectar o HD para backup, desativarei todo o acesso a fim de evitar que um ataque comprometa este HD também. Limitar o acesso aos arquivos do HD com auditoria para somente um usuário (que não seja um administrador) é ótimo, mas complica na hora de recuperar, logo o mais prático e seguro é desativar o acesso externo durante o backup. A rotina pra backup  é simples:

    Y:
    if exist 2 rd 2 /s /q
    if exist 1 ren 1 2
    if exist 0 ren 0 1
    md 0
    robocopy c:\data 0\data /e /zb /w:5 /log:0\data.log /fp /ts /Tee

    Isso irá copiar a pasta data do C:\ para Y:\ dentro da pasta 0, se 0 existir, renomeia pra 1, consecutivamente... logo teremos 3 backups, faça isso 1x por dia e terá 3 backups de dias diferentes. Isso pelo simples fato de talvez um único backup não ser suficiente ou ocorrer algo que não seja notado imediatamente, você terá 3 dias para notar e restaurar a partir do backup mais conveniente, ou mesmo mesclar os mesmos para obter a melhor e mais atual estrutura.

    Hot swap com RAID 1 é também uma EXCELENTE alternativa, porém, quem precisa de vários backups de dias distintos fica um pouco complicado. Uma opção é hot swap + raid 0 + backup diário noturno com várias cópias. Único problema aí é precisar esconder os backups de administradores, já que o HD ficaria conectado na raid o dia todo a fim de sincronizar até o fim do expediente. Se ocorre invasão durante o dia e o backup não estiver escondido, você perde tudo do mesmo jeito. Hot swap é mais eficiente para falha de hardware / roubo / acidente que à invasão, mas não deixa de ser alternativa.


    • Editado Paulo F Jr quinta-feira, 18 de julho de 2013 18:11 batch incorreto
    quinta-feira, 18 de julho de 2013 17:50
  • pessoal achei isto aqui 

    http://www.pandasecurity.com/homeusers/support/card?id=1676&idIdioma=2

    e tenho a pasta c:\programdata oculta tb...

    esta rodando o programa da panda, e pelo que vi...quase um bruteforce, mas  que ele ja tem os primeiros seriais..ou seja...vai um dia mais ou menos...vamos ver o que vai dar...


    This information is desinformation

    quinta-feira, 18 de julho de 2013 17:55
  • Link referente à primeira versão.... a questão hoje é a 2.0, o próprio invasor informa isso no malware que deixa na máquina. A primeira tinha cerca de 70 caracteres na senha que poderia ser encontrado o seed nos arquivos da programdata... dessa vez o cara foi mais esperto e tirou essas brechas.

    quinta-feira, 18 de julho de 2013 18:05
  • quem tinha pedido o virus? 

    eu achei...no servidor....tenho aqui


    This information is desinformation

    quinta-feira, 18 de julho de 2013 18:20
  • quem tinha pedido o virus? 

    eu achei...no servidor....tenho aqui


    This information is desinformation

    eu quero. 

    prodrigues.h gmail com

    voce achou o virus? ou o arquivo que ele deixa ai?

    de toda forma pode me enviar, não esquece de compactar para .zip

    quinta-feira, 18 de julho de 2013 18:23
  • Paulo Filipin,

    Hot swap com RAID 1 é também uma EXCELENTE alternativa

    Mas o  segundo HD do RAID 1 também irá compactar os arquivos em . rar... Qual a vantagem?

    quinta-feira, 18 de julho de 2013 18:28
  • Paulo Filipin,

    Hot swap com RAID 1 é também uma EXCELENTE alternativa

    Mas o  segundo HD do RAID 1 também irá compactar os arquivos em . rar... Qual a vantagem?

    "Único problema aí é precisar esconder os backups de administradores, já que o HD ficaria conectado na raid o dia todo a fim de sincronizar até o fim do expediente. Se ocorre invasão durante o dia e o backup não estiver escondido, você perde tudo do mesmo jeito"

    quinta-feira, 18 de julho de 2013 22:08
  • Boa Noite Pessoal.. vou compartilhar o acontecido...

    Tive ataques em mais de 4 empresas, todos pela porta rdp, todos os Servidores Windows 2003 foram afetados, como os servidores (Linux) de BD são separados dos de TS, não foram afetados. o ataque não propaga pela rede, so no servidores invadidos.

    Portanto somente é afetado o Servidor onde TS está levantado, os arquivos de usuários no servidor foram todos afetados e encriptados.

    Portanto fizemos uma backup dos HD´s refizemos todos eles novamente, os arquivos dos usuarios afetados não conseguimos recuperar, a não ser quem tivesse $ para pagar....rsss

    Apos levantarmos os servidores novamente.....

    Tivemos mais 2 dois de ataques aos Servidores, mas estavamos preparados, tivemos reclamação do Provedor por um volume muito grande de trafego na rede em nosso ip, sempre atacando 3389, nos servidores com Windows server 2012 a tentativa foi grande, mais o firewall e senhas complexas não permitiram a invasão.

    FICA A DICA!!! NUNCA, NUNCA DEIXE SEU SERVIDOR DE BANCO NO MESMO SERVIDOR DE ARQUIVOS DE USUARIOS, planilha de excel, word, faz de novo. Na maioria os dados vem de seu banco...

    Foram dias de Cão...

    Qualquer ajuda estou a disposição...

    Junior Penteado

    sexta-feira, 19 de julho de 2013 02:20
  • Pois é, se quiserem ver quanto tempo ele levou pra descobrir a senha é só olhar no log de eventos... levou cerca de 1h pcausa da senha fajuta que tínhamos :( engraçado é que parecem ter conseguido 1x, mas 2 horas depois começou tudo denovo... talvez alguma falha no programa do cara.

    Outro incremento pra segurança é agendar tarefas no server 2008 (convenhamos, 2003 já deu!) com disparadores em eventos relacionados a logon, e usar serviços como Zenvia pra enviar SMS pra vc avisando que alguém está acessando ou tentando acessar o servidor. Fiz isso aqui, funcionou que é uma beleza!

    sexta-feira, 19 de julho de 2013 11:55
  • então só conseguiu recuperar quem pagou pro cara?
    sexta-feira, 19 de julho de 2013 12:04
  • Pessoal creio que achei alguma pista sobre o kra, creio tambem que seja bem pouco, mas pode ajudar algo.

    Rastreando o email achei este ip: 180.210.200.151 ,e que me leva para o endereço: 151.200.210.180.ds.sparkstation.net

    Pode ser ai que o servidor do kra ta hospedado.

    Tambem to na luta junto com vocês aqui.


    sexta-feira, 19 de julho de 2013 21:05
  • Pessoal creio que achei alguma pista sobre o kra, creio tambem que seja bem pouco, mas pode ajudar algo.

    Rastreando o email achei este ip: 180.210.200.151 ,e que me leva para o endereço: 151.200.210.180.ds.sparkstation.net

    Pode ser ai que o servidor do kra ta hospedado.

    Tambem to na luta junto com vocês aqui.


    So falta verificar qual a empresa e fazer uma denuncia para a empresa de hospedagem.
    sexta-feira, 19 de julho de 2013 21:35
  • Pelo que o povo disse ele utiliza varios proxies... ai complica

    Mesmo assim se a gente descobri o local não vai adiantar muito...

    Uma dúvida...

    Será que esse cara até agora nao atacou policia, estado, ou algum orgão do governo nao? Duvido que se isto acontecesse eles (autoridades) não iriam correr atrás

    sábado, 20 de julho de 2013 00:46
  • Não acredito que devido aos inúmeros relatos de diversos profissionais em todo mundo, as empresas especializadas em segurança desenvolvedores de antivírus, e gigantes como microsoft & cia ltda não se pronunciam em nenhum local!! poxa parece piada!!! a praga já existe a alguns meses e afeta cada vez mais servidores "microsoft windows server" independente do local! É claro que a segurança é importante que é preciso cuidar de backup (blablablabla), todo mundo tá careca de saber, mas oque não admito é que um hacker consiga criar códigos de invasão tao complexos a ponto de serem irreversíveis!! até o momento "espero eu".

    Bah é F.... enquanto isso nós ficamos aguardando alguma força divina para resolver o problema e perdendo clientes com esta M.... toda santa semana.

    E não adianta dizerem que se tivesse firewal não teria acontecido (a maioria dos clientes não quer investir muito) que se tivesse backup em Raid, Fita, Nuvem ou o Raio que o Parta adiantaria porque é quando ,  mais se precisa que ninguém aparece para investigar, quem sabe se este hacker invadir os servidores da PC ou da PF ou até mesmo do governo alguém faça alguma coisa, se bem que depois do que aconteceu com o escada-lo dos EUA não duvido de mais nada!!!

    Há e só para ajudar os irmãos de TI, em meus clientes troquei a porta de escuta do TS, pelo menos assim ele para de tentar invadir os servidores de meus clientes de novo. Abraço a todos e oremos!!!

    sábado, 20 de julho de 2013 01:08
  • Ele ta simplesmente rindo da nossa cara, ta se achando o maior, e até agora realmente é! Será que a Microsoft não vai inventar um HotFix pra isto não? Vou ser obrigado a usar outra porta pro meu TS? Se sim, então que coloque uma atualização no Windows Update que redirecione isto.

    Olha o email que ele respondeu para o meu cliente, tá se gabando...

    Hello!

    Price for your ID is 3000 USD.

    You have Version 2.0 from 22.03.2013.

    For proof we have your passwords you can send us NOT important one NOT so big FILE for decrypt. 
    Dont forget to rename .exe to .rar or something like this because google reject any .exe files.
    Dont try to send me any of your DataBase files , i never send you this files for free, only after payment, if you need a proof, 
    send me not important file like jpg or something like this.

    Also about trust you can see this TV video about us - 
    http://news.ninemsn.com.au/national/2012/11/27/14/44/criminals-hold-aussie-computer-files-hostage/

    You can read additional information in file "how to decrypt files.html". Link to this file is on your desktop and on each hard disk drive.

    Thank You.

    sábado, 20 de julho de 2013 01:58
  • Ele ta simplesmente rindo da nossa cara, ta se achando o maior, e até agora realmente é! Será que a Microsoft não vai inventar um HotFix pra isto não? Vou ser obrigado a usar outra porta pro meu TS? Se sim, então que coloque uma atualização no Windows Update que redirecione isto.

    Olha o email que ele respondeu para o meu cliente, tá se gabando...

    Hello!

    Price for your ID is 3000 USD.

    You have Version 2.0 from 22.03.2013.

    For proof we have your passwords you can send us NOT important one NOT so big FILE for decrypt. 
    Dont forget to rename .exe to .rar or something like this because google reject any .exe files.
    Dont try to send me any of your DataBase files , i never send you this files for free, only after payment, if you need a proof, 
    send me not important file like jpg or something like this.

    Also about trust you can see this TV video about us - 

    You can read additional information in file "how to decrypt files.html". Link to this file is on your desktop and on each hard disk drive.

    Thank You.

    Trata-se de uma mensagem automática esta aí, se você insistir, ele o responderá, chegou a dar um desconto de 300 USD. rs.... o cara se acha.
    sábado, 20 de julho de 2013 10:28
  • eu não vo insistir...

    falei com meu cliente, é por conta e risco dele.

    Não vou por o meu na reta, não posso garantir nada pra ele.

    sábado, 20 de julho de 2013 16:19
  • Prezados Colegas de TI,

    Também passei pelo mesmo problema de voces desde a segunda feira. Não precisa ser relatado aqui como todos estão se sentindo pois a raiva é única como um todo! Quem pôde recuperar seus BKPs, ótimo! Quem não pode porque os bkps estavam em mídias removíveis na mesma máquina ou em mapeamentos na rede se prejudicaram.

    Infelizmente, sabemos que temos que investir mais e mais na segurança de nossas redes, rotinas de BKPs e por uma pequena "brecha" que deixamos e com a contribuição da senhora MICROSOFT, somos invadidos.

    Pois bem. Não tive outra opção a não ser efetuar o pagamento ao invasor. Infelizmente ou até felizmente, o cara se torna seu "amigo" de tantos e-mails trocados e com respostas em pouquíssimo tempo. É, Chega até ser engraçado! Mas não tem motivos nenhum para sorrir!! E Não adianta partir para grosseria com o cara, pois ninguém conseguiu resolver e quem resolve é ELE.

    É. Após o pagamento realizado, e informado por e-mail ao nosso "amigo" que o dinheiro se encontra na perfect money para transferência o mesmo responde rapidamente com o arquivo para ser baixado e os procedimento para descriptografia. O procedimento em meu servidor durou 12horas! Isso mesmo! Domora pra caramba e depende muito da quantidade de arquivos. E em um dos e-mails enviados para ele, ele respondeu: "Qualquer dificuldade que você tiver, não hesite em me contactar" é mole ou quer mais!!??

    Então pessoal, não adianta mais chorar. Infelizmente, é pagar! Procurem o banco da sua empresa e vejam se podem fazer a transferencia via Western Union para a Perfect Money(PM). Meu processo foi feito pelo site www.e-xchange4u.com onde depois da conta criada na perfect money fui até este site e criei uma orderm de pagamento. Um cuidado para voces: o ID do perfect money não é sua conta! vejam em My Account a sua conta. Eu tbm tive dificuldades nisso. Depois da orderm de pagamento cadastrada, procure seu banco para realizar o pagamento. No meu caso foi feito tudo no bradesco onde tem convenio com a a Western Union e em 6 horas o dinheiro estava na conta da PM para trasnferir para nosso "amigo". Foi tudo rápido.

    Depois da transferencia para a PM dele, em 5 minutos ele me passou todo o procedimento e consegui descriptografar. Não posso precisar neste momento a vocês a integridade dos arquivos, pois ainda estou em processo para refazer toda a instalação do banco de dados. Mas os outros arquivos todos estão OK!

    Pois é caros colegas, essa foi uma experiência hórrivel. Não tive outra maneira a não ser a empresa PAGAR. Espero ter ajudado a voces criarem coragem para pagar. Eu sei que não é fácil, mas foi a minha solução mais rápida.

    Agradeço Também ao amigo KurtNobre, que fez alguns post nesse forum que me ajudou tambem a criar coragem a pagar.

    Espero ter ajudado vocês.

    Saudações a todos e boa sorte!


    VictorNascimento

    sábado, 20 de julho de 2013 16:26
  • Olá Marcos, meu Servidor (Windows Server 2003) foi infectado por esse vírus. Tenho um banco de dados SQL da minha empresa nele, e está inacessível.

    Você consegue resolver o problema?

    Att,

    Paulo Afonso

    sábado, 20 de julho de 2013 17:06
  • E aí pessoal,

    Pois é, também fui sorteado ontem dia 19/07, como muitos colegas eu não me dava conta da vulnerabilidade em ter usuários de TS com qualquer senha, e poir com permissoes de administrador, resultado o cara quebrou fácil fácil. Tive sorte que meu Backup em Storage tinha senhas diferenciadas da que ele quebrou, mesmo assim perdi um dia de trabalho todo, pois ele parou o meu serviço de Backup antes de ele iniciar o processo que iria copiar o dia passado. Enfim, ainda estou analisando os estragos, alguns arquivos não vou conseguir recuperar...

    Mas fica a lição, todo o cuidado é pouco, vamos investir mais caprichar nas senhas de acesso externo.

    Abraço a todos e ficamos acompanhando para ver se surje uma solução.

    sábado, 20 de julho de 2013 17:08
  • Não acho correto o pagamento... isso que esse cara esta fazendo se chama extorção!! eu estou trabalhando nessa brincadeira dele des de ontem sem dormir. e creio que tem solução... estou fazendo a eng reversa da coisa, agora pagar??? desculpe isso só encoraja outros malandros a criar mais ameaças como essas... e mais pelo oque voce disse nem sabe se tudo vai estar ok depois de terminado o processo.

    Só mais uma coisa... ja que pagou faz como nosso amigo mais acima...

    nos de o link de do descript e as senhas que ele lhe enviou, com essa sua informação e do nosso colega vai ficar mais facil desmonstar isso.

    obrigado...

    sábado, 20 de julho de 2013 17:16
  • Sidnei,

    Acho que tenho o descript aqui, se quiser te envio, me passa seu email.

    Concordo com tudo que voce disse, mas me tira uma duvida: Como voce ta fazendo a engenharia reversa sendo que o "arquivo do virus" se auto destrói após criptografar?

    sábado, 20 de julho de 2013 17:47
  • sc.junior@hotmail.com

    eu dei o azar ou a sorte de ver ele ou uma maquina atacando um servidor e fui copiando tudo oque ele fazia...

    resumindo estou juntando informações para ajudar a todos aqui de graça, afinal cobrar como o instituto do hd tambem é uma sacanagem...

    sé me responda uma coisa por acaso o decrypt que vc tem ele veio copactado com dois arquivos. 

    um é o decrypt.exe

    o outro é o decryptfl.exe 

    ??? a se poder mandar as senhas que ele enviou devem ser 3 e uma om o locker password 

    obrigado isso vai ajudar a todos aqui.

    sábado, 20 de julho de 2013 18:01
  • sc.junior@hotmail.com

    eu dei o azar ou a sorte de ver ele ou uma maquina atacando um servidor e fui copiando tudo oque ele fazia...

    resumindo estou juntando informações para ajudar a todos aqui de graça, afinal cobrar como o instituto do hd tambem é uma sacanagem...

    sé me responda uma coisa por acaso o decrypt que vc tem ele veio copactado com dois arquivos. 

    um é o decrypt.exe

    o outro é o decryptfl.exe 

    ??? a se poder mandar as senhas que ele enviou devem ser 3 e uma om o locker password 

    obrigado isso vai ajudar a todos aqui.

    Neste mesmo tópico tem postado as 3 senhas Sidnei, e também o link no sendspace para baixar o decrypter.

    Abraço e boa sorte, pode contar comigo!!!

    sábado, 20 de julho de 2013 19:00
  • Boa tarde! Estou na mesma situação, preciso do Banco de Dados do SQL, tentei vários softwares de recuperação, falei com um amigo especialista em recuperação de dados e ele falou que não tem ferramenta recovery ainda que pode trazer o banco de dados SQL (MDF) que nem o que estão falando de assembly, caso paguem só conseguirão trazer arquivos, doc, xls, jpg, arquivos mais comuns, pelo que entendi o criador deste encriptador foi atrás de banco de dados, caso consigam alguma "luz" favor publicar, será de muita utilidade.

    Abraços a todos e boa sorte, precisamos de muita, nunca vi algo assim.

    Davi Vilaça

    DW Consultoria em T.I.

    • Editado DWCONSULTORIA sábado, 20 de julho de 2013 20:00 esqueci de assinar
    sábado, 20 de julho de 2013 19:40
  • sidnei,

    Exatamente como voce falou, eu peguei esses arquivos aqui na pagina também.

    Eu não paguei não, to deixando o servidor parado lá, se alguem descobrir...

    Já removi ele do meu micro, achei que tinha ele aqui... Mas como nosso amigo Mauricio disse, tem aqui em algum post.

    domingo, 21 de julho de 2013 01:33
  • Victor estou com o mesmo problema. Tenho um escitorio contabil, todos os programas e arquivos estão bloqueados. Gostaria de saber se depois de pago o  procedimento deu certo. Voce conseguiu recuperar os arquivos?  Não deixe de publicar.  

    A situação aqui é critica. Trabalho para várias empresas.

    domingo, 21 de julho de 2013 10:52
  • Bom dia!

    Administro vários servidores Windows 2003 e 2008 todos estão sendo atacados na porta 3389 (RDP). Isso já ocorre a mais de ano. Por segurança eu não utilizo senha fraca no administrador e nem dou direito a nenhum usuário como administrador. Muitos técnicos não sabe configurar um usuário como usuário de área de trabalha remota e ai da direito a administrador a todos os usuários.

    Vejo que o problema é senha fraca, pois bruta força demora um bom tempo para ter uma idéia a senha 123456 da mais de mil duzentas e vinte e três, quatrocentos e cinquenta e seis tentativas. Daria isso se já começar testando com sei dígitos. Um dos servidores esta com log desde 31/05/2013 e só tem aproximadamente 17.500 tentativas, nestas tentativas foram tentados vários usuários entre eles, Administrator, Administrador, admin, root, bacckup, John, leticia, antonia, user, user1, caixa, vendas, etc

    Vejo vários técnicos falando que é falha da Microsoft, não concordo, a Microsoft disponibiliza o TS ou RDP, quem ativa tem que saber do risco. Se a Microsoft mudar de porta os Hacker vão saber, ou seja toda porta padrão todo mundo sabe. Não tem como não ter porta tem que ter segurança para saber quem pode entrar por ela, ai entra uma boa configuração de firewall, limitando os ip que devem acessar.

    Tenho colocado as faixa de ip que podem acessar o RDP, e utilizado senhas fortes para os administradores. Meu usuários remotos tem senha fraca, mas ele só abre o ERP da empresa. Para quebrar com bruta força primeiro tem que descobrir o nome do usuário e ir tentando. A resposta do Windows é a mesma se a senha estiver errada ou o usuário não existir. Portanto não é tão fácil o bandido entrar nós que facilitamos as coisas pra ele

    Tive um cliente que teve o servidor Windows 2008 atacado, mas a senha do Administrador era 123. Da para acretidar que um técnico deixe o Administrador com a senha 123 e com o RDP ativo????

    Analisei este servidor atacado, e por enquanto, infelizmente, a única solução para ter os dados de volta é PAGAR o sequestrador. Também estou revoltado, pois o cara vez o veneno e só ele tem o antíodo.

    Quebrar a senha usando bruta força é impossível, visto que a formula para combinações é a quantidade de caracteres elevado ao número de dígitos, então para uma senha só com números 0 a 9 com seis dígitos temos 10 elevado a 6 potencias = 1.000.000 de combinações.

    Recuperação de dados o cara usou SDELETE, apaga e depois sobrepõe os dados. Cheguei a tentar usar recuperação RAW, onde verifico a assinatura do arquivo e não o nome, não tive sucesso.

    Tirar a senha do RAR, a própria RALAB diz ser impossível e eu acredito, pois ele criptografa o arquivo inteiro, misturando dados com a senha, não é só uma senha em uma posição do arquivo.

    A única solução que eu acho que possa existir e engenharia reversar do programa que compacta os dados. Mas quem tem ele???

    domingo, 21 de julho de 2013 12:59
  • Reinaldo boa tarde,

    Eu tenho um cliente que foi a atacado, a senha dele era (vou mudar a senha mas vou por o mesmo formato): TechMsBh2107.

    A porta era 3389, o usuário era administrador. Mas pensando no bruteforce... Como o invasor pode ter quebrado uma senha desta complexidade? Ele poderia ter entrado por outro usuário com poderes administrativo e com senha mais fraca?

    domingo, 21 de julho de 2013 15:35
  • Reinaldo boa tarde,

    Eu tenho um cliente que foi a atacado, a senha dele era (vou mudar a senha mas vou por o mesmo formato): TechMsBh2107.

    A porta era 3389, o usuário era administrador. Mas pensando no bruteforce... Como o invasor pode ter quebrado uma senha desta complexidade? Ele poderia ter entrado por outro usuário com poderes administrativo e com senha mais fraca?

    Olá PH, se o usuário tiver privilégios administrativos, sim. 
    domingo, 21 de julho de 2013 16:11
  • Cara o que me intriga é o seguinte:

    1-O cara tem que descobrir um IP que tenha o serviço RDP ativo. (dentro dos milhões de IP existentes)

    2-Depois ele tem que descobrir um nome de usuário que tenha permissões administrativa no micro

    3-Depois ele tem que descobrir a senha do usuário

    Muito estranho isso... Pro cara descobrir isso tudo ele demoraria anos, para fazer com um micro... E pelo que parece ele está fazendo em varias pessoas. 

    Ele simplesmente dispara um bruteforce para todos os IP's do mundo, para listar todos os usuários possíveis e em cima de cada usuário testar todas as senhas?

    Deve ter alguma falha, porque se ele fosse fazer isto ai, era perigoso ele morrer de velhice e não ter invadido nenhum servidor ainda.

    domingo, 21 de julho de 2013 16:34
  • Olá pessoal, que situação essa....!  O servidor da empresa em que trabalho também foi atacado.

    Consegui recuperar os arquivos de backup do banco de dados SQL usando o RECUVA, mas ao tentar restaurá-los em outro servidor no SQL dá erro, ...

    "The media family on device 'C:\BACKUP\DbBdados_backup_201307172000.bak' is incorrectly formed. SQL Server cannot process this media family.
    RESTORE HEADERONLY is terminating abnormally. (Microsoft SQL Server, Error: 3241)..."

    Será que os arquivos estão corrompidos?

    Qualquer ajuda será bem vinda pessoal.


    domingo, 21 de julho de 2013 16:39
  • Reinaldo boa tarde,

    Eu tenho um cliente que foi a atacado, a senha dele era (vou mudar a senha mas vou por o mesmo formato): TechMsBh2107.

    A porta era 3389, o usuário era administrador. Mas pensando no bruteforce... Como o invasor pode ter quebrado uma senha desta complexidade? Ele poderia ter entrado por outro usuário com poderes administrativo e com senha mais fraca?

    Com certeza foi por outro usuário com privilégio de administrador, pois uma senha com esta levaria anos para quebrar.

    Gente no dia que tive conhecimento do TROJAN, mandei uma sugestão de reportagem para a GLOBO e também para a RECORD, mas nenhuma das duas levou a sério o que realmente é sério. Isso foi no dia 17/07/2013, se eles anunciam isso a nível nacional, teria evitado muitas vítimas, pois todos que chegam aqui é porque já foi vítima e esta procurando uma solução.

    domingo, 21 de julho de 2013 19:49
  • Reinaldo,

    Voce acha valido desabilitar o usuario administrador como prevensão? E criar outro com poderes administrativos.

    domingo, 21 de julho de 2013 19:54
  • Cara o que me intriga é o seguinte:

    1-O cara tem que descobrir um IP que tenha o serviço RDP ativo. (dentro dos milhões de IP existentes)

    2-Depois ele tem que descobrir um nome de usuário que tenha permissões administrativa no micro

    3-Depois ele tem que descobrir a senha do usuário

    Muito estranho isso... Pro cara descobrir isso tudo ele demoraria anos, para fazer com um micro... E pelo que parece ele está fazendo em varias pessoas. 

    Ele simplesmente dispara um bruteforce para todos os IP's do mundo, para listar todos os usuários possíveis e em cima de cada usuário testar todas as senhas?

    Deve ter alguma falha, porque se ele fosse fazer isto ai, era perigoso ele morrer de velhice e não ter invadido nenhum servidor ainda.

    Pelo que analisei, ele faz um scanner em todos os ips do mundo pela porta 3389, depois com esta lista ele vai tentando acessar com os usuários mais comuns, administrator, administrador, admin, user, user1, remoto, console, david, jhon, backup, sql, etc..

    Eles já vem fazendo isso a mais de ano, pois em 2012 eu tive um servidor invadido, mas acho que ainda estavam estudando o ataque, pois ele instalou um programa de controle de família, creio que para pegar senhas. Descobri porque deixou um usuário do IIS conectado pela área de trabalho remota, ai desconfiei e fui ver eles tinha acessado. a senha do administrador em questão era 012345. De lá para cá eu venho olhando os logs e vejo tentativa de acesso todos os dias em todos os servidores que tenho, sempre pelos mesmo usuários o mais tentado é o administrator.

    Tenho alguns servidores com redirecionamento de portas exemplo o RDP esta respondendo na porta 338, estes não tem nenhuma tentativa de ivasão.

    Observação, quando instala o Windows Server 2008 ele pede uma senha complexa, não é atoa, muitos vão lá e desabilita esta funcionalidade padrão do Windows e depois ainda falam em falha da Microsoft. Eu também desabilito, mas só para os usuários comuns, e crio os usuários com senha 123456, é isso mesmo, mas eles não tem direito a nada, só executar o ERP da empresa. Agora para os ADM senha Forte.

    domingo, 21 de julho de 2013 20:03
  • "Pelo que analisei, ele faz um scanner em todos os ips do mundo pela porta 3389, depois com esta lista ele vai tentando acessar com os usuários mais comuns, administrator, administrador, admin, user, user1, remoto, console, david, jhon, backup, sql, etc.."

    Amigo mas david, jhon... Não são usuários padrão...

    Porque se for seguir esse pensamento nos vamos ter que criar nome de usuário tão complexo quanto senhas, fica inviável. Imagina...

    login: admin789$traD0r

    senha: a3g23%#@10,pçr


    domingo, 21 de julho de 2013 20:09
  • Olá pessoal, que situação essa....!  O servidor da empresa em que trabalho também foi atacado.

    Consegui recuperar os arquivos de backup do banco de dados SQL usando o RECUVA, mas ao tentar restaurá-los em outro servidor no SQL dá erro, ...

    "The media family on device 'C:\BACKUP\DbBdados_backup_201307172000.bak' is incorrectly formed. SQL Server cannot process this media family.
    RESTORE HEADERONLY is terminating abnormally. (Microsoft SQL Server, Error: 3241)..."

    Será que os arquivos estão corrompidos?

    Qualquer ajuda será bem vinda pessoal.


    Eu tbm consegui restaurar um LOG do Sybase, mas ao abrir ele com o Notepad++ era um arquivo compactado com o rar ainda estou com ele aqui, vou postar um trecho que achei dentro dele, talvez serve para alguma coisa nesta nossa caçada

    <assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
    <assemblyIdentity
      version="1.0.0.0"
      processorArchitecture="*"
      name="WinRAR SFX"
      type="win32"/>
    <description>WinRAR SFX module</description>
    <trustInfo xmlns="urn:schemas-microsoft-com:asm.v2">
      <security>
        <requestedPrivileges>
          <requestedExecutionLevel level="asInvoker"           
          uiAccess="false"/>
        </requestedPrivileges>
      </security>
    </trustInfo>
    <dependency>
      <dependentAssembly>
        <assemblyIdentity
          type="win32"
          name="Microsoft.Windows.Common-Controls"
          version="6.0.0.0"
          processorArchitecture="*"
          publicKeyToken="6595b64144ccf1df"
          language="*"/>
      </dependentAssembly>
    </dependency>
    <compatibility xmlns="urn:schemas-microsoft-com:compatibility.v1">
      <application>
        <!--The ID below indicates application support for Windows Vista -->
          <supportedOS Id="{e2011457-1546-43c5-a5fe-008deee3d3f0}"/>
        <!--The ID below indicates application support for Windows 7 -->
          <supportedOS Id="{35138b9a-5d96-4fbd-8e2d-a2440225f93a}"/>
      </application>
    </compatibility>
    <asmv3:application xmlns:asmv3="urn:schemas-microsoft-com:asm.v3">
      <asmv3:windowsSettings xmlns="http:// schemas.microsoft.com/SMI/2005/WindowsSettings">
        <dpiAware>true</dpiAware>
      </asmv3:windowsSettings>
    </asmv3:application>
    </assembly>

    Obs: Adicionei um espaço depois de http na linha  <asmv3:windowsSettings xmlns="http:// schemas.microsoft.com/SMI/2005/WindowsSettings">, pois não aceitou eu publicar como link

    domingo, 21 de julho de 2013 20:13
  • Quero muito saber como este virus entra no servidor???, tivemos sérios, problemas aqui....algum amigo aqui do fórum pode mim explicar.    
    segunda-feira, 22 de julho de 2013 11:15
  • Não acho correto o pagamento... isso que esse cara esta fazendo se chama extorção!! eu estou trabalhando nessa brincadeira dele des de ontem sem dormir. e creio que tem solução... estou fazendo a eng reversa da coisa, agora pagar??? desculpe isso só encoraja outros malandros a criar mais ameaças como essas... e mais pelo oque voce disse nem sabe se tudo vai estar ok depois de terminado o processo.

    Só mais uma coisa... ja que pagou faz como nosso amigo mais acima...

    nos de o link de do descript e as senhas que ele lhe enviou, com essa sua informação e do nosso colega vai ficar mais facil desmonstar isso.

    obrigado...

    Amigo, também não acho correto o pagamento. Mas, foi a solução que eu tinha para o momento. E também não poderia ficar vários dias parado. Segue abaixo o e-mail com os dados que vc pediu. Abraços.

    Hello!

    Desktop screenlocker: 284143324763477150

    1st Decrypt password:
    08AB87961AFD675626ED9C1A029F5302E774B@3BET2q69DhFN1SEnFI201g5YAo5K3eEO9t3l6yA9E@Cf776e5T9Y7D8IF5Eg8&DdBA2gCaCY3s0r
    2st Decrypt password:
    CEB1827E90B355DA7C87751D2788B9CD8*4MB#463c59E49!7F6M9)6!736nF*DO3&7#BwEsAc2HCfFnF&7RA=4YFU6D9#5!Ce1D2OB)8=Fj4yB)01
    3st Decrypt password: ALF$$q*qqLALF$F$$FFqALF$F$$FFq

    Decryption tool (password to the archive: 123):

    http://www.sendspace.com/file/wb234d

    Download it and unpack to any folder. Also program require
    administrative rules (use administrator account).

    Run decrypt.exe .

    Copy paste 1st Decrypt password, 2st Decrypt password and 3st Decrypt
    passwords in decrypt tool 3 fields.

    If you have not stop our software - use decryption tool, because the
    tool will stop our software before decrypting the files.

    This is very important to stop our software service (and dont delete any
    files in ProgramData folder before stop) because your decrypted
    files may will be encrypted again.

    p.s. when you will start decrypt tool it would seem as if the program
    hanging, but everything is fine, just wait for the message about
    successful completion of decrypting and dont touch decrypt window with
    your mouse.

    If you have any questions or troubles in decrypting feel free to contact
    me .

    Please confirm receipt.
     


    VictorNascimento

    segunda-feira, 22 de julho de 2013 12:22
  • Victor estou com o mesmo problema. Tenho um escitorio contabil, todos os programas e arquivos estão bloqueados. Gostaria de saber se depois de pago o  procedimento deu certo. Voce conseguiu recuperar os arquivos?  Não deixe de publicar.  

    A situação aqui é critica. Trabalho para várias empresas.

    Isagomes, após o pagamento, realmente ele envia os dados em 5 a 10 minutos. O procedimento para descriptografar demora de acordo com a quantidade de arquivos. Na minha situação, foi 12 horas rodando o procedimento e fiquei muito aflito! Mas o procedimento realmente descriptografou tudo. Esta primeira parte está ok! Hoje a tarde estou refazendo o banco de dados Oracle para ver a integridade dos arquivos. Mas aparentemente está tudo indo bem!

    Darei mais notícias no final.


    VictorNascimento

    segunda-feira, 22 de julho de 2013 12:27
  • Galera tive uma ideia aqui e estou verificando se pode funcionar, entrei no servidor dando o boot pelo linux, exclui o programa RAR e as inicilaizaçoes pelo iniciar, estou cruzando os dedos...heheheh 

    segunda-feira, 22 de julho de 2013 13:24
  • Sidnei, Bom dia!

    Você continua trabalhando para achar uma solução para esse problema? Tem mais alguém trabalhando em engenharia reversa?

    Mais uma vez obrigado.

    Abraços

    Davi Vilaça

    segunda-feira, 22 de julho de 2013 14:04
  • Bom dia!

    Mais alguém esta trabalhando com engenharia reversa?

    Abraços

    Davi Vilaça

     
    segunda-feira, 22 de julho de 2013 14:05
  • Alguém já tentou esta solução ? Não fui infectado somente achei a "solução" não consigo testar ...

    http://www.pandasecurity.com/homeusers/support/card?id=1676&idIdioma=2


    Sherlon

    segunda-feira, 22 de julho de 2013 14:13
  • Sherlom,

    Eu testei, isso é um software de força bruta, pela criptografia que ele usa é impossível.

    Eu tenho 3 backups diários, em outro HD no próprio servidor, no HD externo e em midia externa, como o backup que roda às 12:00 hs e às 18:00 hs, ele se subscreve todos os dias, pensando assim pensei em rodar algum software para recuperação de dados, porém todos sem sucesso e rodei muitos, falando com um amigo especialista em restauração, ele falou que para arquivos de banco de dados como o SQL (MDF) ou de Backup (.BAK) não existe solução, única maneira que vejo é engenharia reversa, vi nesse forum que tem pessoas trabalhando nisso, essa é nossa esperança.

    Vou enviar isso para um amigo que escreve para o Estadão e outro da Jovem Pan para ver se eles divulgam essa matéria, acredito que isso ajude mais pessoas a não serem pegos.

    Caso queiram uma dica, alterem a porta do RDP de 3389 para qualquer outra e apontem ela no redirecionamento com a porta que colocarem, a invasão é feita através dessa porta, assim minimiza as chances dele invadir.

    Abraços

    Davi Vilaça

    www.dwconsultoria.com.br


    segunda-feira, 22 de julho de 2013 14:23
  • Segue link para recuperar os arquivos , não testei pois não fui infectado então caso der certo comunicar aqui .. 

    Abraços

    http://www.pandasecurity.com/homeusers/support/card?id=1676&idIdioma=2

    Mestre

    segunda-feira, 22 de julho de 2013 14:49
  • Alguém tentou esse procedimento?

    depois da url do youtube insira o codigo: oht-7iw8XKI   (não consigo posta links aqui)

    Estou rodando o procedimento do panda, assim que terminar posto os resultados

    boa sorte pra gente!

    segunda-feira, 22 de julho de 2013 15:44
  • Segue link para recuperar os arquivos , não testei pois não fui infectado então caso der certo comunicar aqui .. 

    Abraços

    http://www.pandasecurity.com/homeusers/support/card?id=1676&idIdioma=2

    Mestre

    Amigo este processo era pra versão anterior do anti-child. Repare no email que o invasor utiliza atualmente e o email que esta no site da panda.
    segunda-feira, 22 de julho de 2013 16:13
  • Olá Victor, tudo bem?

    Para qual endereço de e-mail do bandido você enviou? Eu estou tentando enviar o arquivo de teste para o endereço que ele colocou mas dá erro no servidor de envio.

    segunda-feira, 22 de julho de 2013 17:55
  • Victor estou com o mesmo problema. Tenho um escitorio contabil, todos os programas e arquivos estão bloqueados. Gostaria de saber se depois de pago o  procedimento deu certo. Voce conseguiu recuperar os arquivos?  Não deixe de publicar.  

    A situação aqui é critica. Trabalho para várias empresas.

    Isagomes, após o pagamento, realmente ele envia os dados em 5 a 10 minutos. O procedimento para descriptografar demora de acordo com a quantidade de arquivos. Na minha situação, foi 12 horas rodando o procedimento e fiquei muito aflito! Mas o procedimento realmente descriptografou tudo. Esta primeira parte está ok! Hoje a tarde estou refazendo o banco de dados Oracle para ver a integridade dos arquivos. Mas aparentemente está tudo indo bem!

    Darei mais notícias no final.


    VictorNascimento

    Olá pessoal, estou tentando enviar um e-mail para o meliante com um arquivo criptografado para testar, mas o endereço(brsechvs) do gmail que consta nos meus arquivos está dando como inválido no servidor do gmail.

    Como faço para mandar email para ele?

    segunda-feira, 22 de julho de 2013 18:02
  • Paulo,

    Boa tarde! Sugiro trocar e-mail com ele de um celular, acredito ficar muito aberto trocando e-mail da empresa, ele identificará rápido o IP de origem.

    Abraços

    Davi Vilaça

    segunda-feira, 22 de julho de 2013 18:04
  • Victor estou com o mesmo problema. Tenho um escitorio contabil, todos os programas e arquivos estão bloqueados. Gostaria de saber se depois de pago o  procedimento deu certo. Voce conseguiu recuperar os arquivos?  Não deixe de publicar.  

    A situação aqui é critica. Trabalho para várias empresas.

    Isagomes, após o pagamento, realmente ele envia os dados em 5 a 10 minutos. O procedimento para descriptografar demora de acordo com a quantidade de arquivos. Na minha situação, foi 12 horas rodando o procedimento e fiquei muito aflito! Mas o procedimento realmente descriptografou tudo. Esta primeira parte está ok! Hoje a tarde estou refazendo o banco de dados Oracle para ver a integridade dos arquivos. Mas aparentemente está tudo indo bem!

    Darei mais notícias no final.


    VictorNascimento

    Olá pessoal, estou tentando enviar um e-mail para o meliante com um arquivo criptografado para testar, mas o endereço(brsechvs) do gmail que consta nos meus arquivos está dando como inválido no servidor do gmail.

    Como faço para mandar email para ele?


    Paulo, renomeie o arquivo para RAR. arquivos EXE servidores de email não aceitam. mande um arquivo compactado. Eu também fiz esse teste e ele mandou os arquivos OK!

    VictorNascimento

    segunda-feira, 22 de julho de 2013 20:59
  • Caro Vitor Nascimento e outras pessoas que pagaram para este 'sujeito'.

    Vocês poderiam nos dar mais detalhes de como foi feito o procedimento de pagamento? Pelo que eu li, tem que utilizar um serviço para fazer o depósito e depois enviar o código para ele.

    É isso mesmo? Por favor me deem mais detalhes pois infelizmente terei que pagar também.

    Desde já agradeço a atenção.

    Ícaro Almeida

    segunda-feira, 22 de julho de 2013 21:28
  • Caro Ícaro

    Também vamos pagar... comecei a efetuar os cadastros onde ele orienta por e-mail..

    Amanhã iremos ate o banco para efetuar a transferência! O procedimento é bem complicado e cansativo.. mas.. não tem jeito.

    O Victor me ajudou nestes procedimentos e ainda esta me ajudando!!

    segunda-feira, 22 de julho de 2013 21:59
  • Deixo aqui meu e-mail (icaroalmeida@hotmail.com) e meu skype (i-caroalmeida) para que quem puder me adicionar para me auxiliar neste processo. 

    Ficarei muito grato.

    Obrigado.

    segunda-feira, 22 de julho de 2013 22:39
  • Deixo aqui meu e-mail (icaroalmeida@hotmail.com) e meu skype (i-caroalmeida) para que quem puder me adicionar para me auxiliar neste processo. 

    Ficarei muito grato.

    Obrigado.

     Poxa galera o meu nao abre nem o Windows trava depois do login, e só a opção de colocar a senha? mas alguém ta com o problema?

    Daniel Carneiro Coordenador de TI.

    segunda-feira, 22 de julho de 2013 22:48
  • É isso mesmo meu caro.

    Não tem pra onde ir. Para poder pegar os arquivos, só acessando o HD colocando ele em outra máquina, ou través de algum mapeamento (que eu não sei se funciona).

    Ícaro Almeida


    segunda-feira, 22 de julho de 2013 22:49
  • Pessoal, boa noite. Tambem tive um cliente que teve o sistema invadido. Estou coletando as informações para passar ao proprietario da empresa de como proceder no pagamento para obter as Benditas senhas.

    Alguem que já fez o pagamento pode postar como procedeu para ajudar-nos no processo??

    Grato.

    terça-feira, 23 de julho de 2013 00:13
  • Ola pessoal, 

    Somos técnicos, engenheiros, analistas e programadores, se um de nós (ou todos) quiséssemos fazer um vírus e apagar o rastro o que faríamos? Pensem, o cara é como um de nós. 

    1º Cria um script para verificar porta RDP ( vejam no site ping.eu/port-chk ) se o site fez não é difícil criar um script. 

    2º Lista dos IPs do País que deseja atacar (nirsoft/net/countryip/br.html ) daí o e-mail do cara BR??????@gmail.com

    3º envie um Trojan para esse IP (estou removendo 1 trojan por hora, não sei como essa m@#$ tá entrando aqui, não tem log nenhum).

    4º Esse trojan vai se executar como System Acount e conectar ao virus e abrir uma conexão remota. O VNC e teamviewer e outros fazem isso não precisar usar BrutalForce para quebrar senha do admin (veja abaixo) lembram como fazíamos para recuperar a senha do Windows XP usando o screen saver? renomeando o aquivo logon.scr ? 

    5º Pronto! usem a criatividade. proxy não deixa rastro o ID gerado é gravado no servidor do sequestrador com todas as senhas, assim não tem como descobrir a senha pelo ID e o cara tem todas as senhas.

    6º Quem foi atacado e não tinha o Winrar instalado? né?

    Quem tem RDP tem Windows Server, tem SQL Server e tem rede corporativa e tem Dados, portanto tem dinheiro para o resgate.

    Pra quem tem SQL Agent, encontrei vários novos JOBs de virus fazendo downloads de sites aleatórios e baixando arquivos para o C:\Recycle e executando eles, o anti-virus pegou, mas nem sempre. Existem vários scripts na net para gerar um JOB no SQL.

    Toda empresa tem um FDP usuário que acessa site de porcaria e tem conexão com o servidor, que pode transferir o virus, e geralmente é o intocável da empresa.

    Meu cliente tem IP stático, o que faz dele alvo várias vezes. Reforcei a senha do Admin e retirei o acesso remoto à esse usuário, criei um usuário específico para remoto só para eu poder monitorar o servidor, outros usuários com seus micros domésticos bixados não têm acesso ao remoto.
    O Firewall registra tentativas ao RDP somente à noite de vários IPs diferentes.

    In general, TeamViewer will always work if surfing on the Internet is possible. Hence, no firewall configuration is required. As an
    alternative to port 80 HTTP, port 443 HTTPs is also being checked. In addition, it is also possible to open only port 5938 TCP on
    the outgoing side. Data traffic should then be able to pass through on this port without any problems

    terça-feira, 23 de julho de 2013 01:08
  • EXTORSÃO É CRIME !!!

    vamos denunciar para Policia federal

    Canal de comunicação: Crimes na web

    (crime . internet @ dpf . gov . br)

    Seria interessante simular um pagamento e eles fazerem uma forense.

    o que acham?

    Se todos fizermos denuncia, iram nos ouvir com certeza, um só não muda nada.

    abraços

    terça-feira, 23 de julho de 2013 03:51
  • Bom dia!

    Para conseguir passar da tela de login no servidor precisa criar um disco de boot, pesquisar no google como kav rescue 10.

    É um arquivo ISO, após gravar em um cd, da boot por ele, as instruções estão no link, após iniciar terão acesso ao computador.

    Obs: Ele não resolve o problema dos arquivos encriptados, somente tirar a mensagem após o login e entrar na máquina.

    Abraços

    Davi Vilaça

    terça-feira, 23 de julho de 2013 10:39
  • Boa tarde pessoal

    aconteceu o mesmo comigo e pagamos atravez do Perfect money (deu trabalho) e ele imediatamente mandou as três senhas e o programa para descriptografar. Agora pra completar ele me indicou ESSE FORUM e pediu que eu informasse que não é vírus pode ?  Isso confirma que o cara é bemmm informado.

    No nosso caso ele apagou tb o backup do hd externo.

    A empresa não queria pagar também, mas após 3 dias sem conseguir faturar bateu o desespero.

    kartnobre, bom dia. voce poderia dar mais detalhes de como procedeu o pagamento. eu recebi o email com as instruções mas esta um pouco confuso.

    Grato pelo retorno

    jluiz

    terça-feira, 23 de julho de 2013 12:43
  • Mandei um email para ele e o mesmo me respondeu

    Hello!

    Price for your ID is 3000 USD.

    You have Version 2.0 from 22.03.2013.

    For proof we have your passwords you can send us NOT important one NOT so big FILE for decrypt. 
    Dont forget to rename .exe to .rar or something like this because google reject any .exe files.
    Dont try to send me any of your DataBase files , i never send you this files for free, only after payment, if you need a proof, send me not important file like jpg or something like this.

    Also about trust you can see this TV video about us - http://news.ninemsn.com.au/national/2012/11/27/14/44/criminals-hold-aussie-computer-files-hostage/

    You can read additional information in file "how to decrypt files.html". Link to this file is on your desktop and on each hard disk drive.

    Thank You.


    Daniel Carneiro Coordenador de TI.

    terça-feira, 23 de julho de 2013 13:58
  • Vou tentar o precedimento.

    Daniel Carneiro Coordenador de TI.

    terça-feira, 23 de julho de 2013 14:04
  • Bom dia...

    alguem com essas informações consegue rastrear esse "Jack Williams" -> essa e a assinatura desse fdp

    recebi essas informações como confirmação do recebimento...

    "Reporting-MTA: dns;hm1479-21.locaweb.com.br

    X-PowerMTA-VirtualMTA: lw_filtro_rcpt_b

    Received-From-MTA: dns;mcbain0002.email.locaweb.com.br (189.126.112.13)

    Arrival-Date: Fri, 19 Jul 2013 10:24:18 -0300

    Original-Recipient: rfc822;brsechvs@gmail.com

    Final-Recipient: rfc822;brsechvs@gmail.com

    Action: relayed

    Status: 2.0.0 (success)

    Remote-MTA: dns;gmail-smtp-in.l.google.com (74.125.130.26)

    X-PowerMTA-BounceCategory: success"

     
    terça-feira, 23 de julho de 2013 14:12
  • Oi pessoal, consegui fazer contato com a Daniela Braun da CBN e ela levou a matéria ao ar agora as 13:40 e que já enviou um e-mail para a Microsoft. Manteremos contato e vou atualizando.


    terça-feira, 23 de julho de 2013 17:00
  • Oi pessoal, consegui fazer contato com a Daniela Braun da CBN e ela levou a matéria ao ar agora as 13:40 e que já enviou um e-mail para a Microsoft. Manteremos contato e vou atualizando.


    segue link:

    http://cbn.globoradio.globo.com/colunas/cbn-tecnologia-da-informacao/2013/07/23/INVASOES-DE-SERVIDORES-WINDOWS-CAUSAM-SEQUESTRO-DE-INFORMACOES-DE-EMPRESAS.htm

    terça-feira, 23 de julho de 2013 17:26
  • Adriano, como posso entrar em contato com voce?

    estão tendo algum resultado? estou com esse problema aqui tbm.

    quando possivel me mande um email para conversarmos? no aguardo.

    gyan.augusto@metaljato.com.br

    terça-feira, 23 de julho de 2013 17:27