35 ответов в этой теме

[IlyaS]

Может быть Fox-IT поможет?

[VVS]

Офтопик удалён.

Модератор.

[vovss]

Тема для поиска всего того, связанного с энкодерами, чего у нас нет. Если у вас есть информация или файлы, которые мы в этой теме ищем - пишите смело мне в личку!

 

Начнем со старенького:

Trojan.Encoder.94 - ищется конструктор для версии с AES. Обычный публично доступный конструктор в качестве алгоритмов предлагает XOR и TEA, а нужен AES

Trojan.Encoder.102/278/293 - конструкторы (если они есть), авторские расшифровщики.

 

Также ищутся:

Любые файлы с серверов, к которым обращаются энкодеры: скрипты, БД и прочее.

Любые конструкторы энкодеров (кроме публично доступного для 94-го, см. выше).

BAT.Encoder.* - приватные ключ с ID F05CF9EE и A3CE7DBE

Любая информация по coderksu@gmail_com - как происходит заражение, сам троян и т.д.

Информация о продаже энкодеров на хакерских форумах.

Synolocker - информация о методах распространения

есть key.private с ID F05CF9EE еще нужен?

[v.martyanov]

Это не приватная часть ключа.

[aden]

У меня A3CE7DBE

Попался этот вирус =((( Могу прислать все что нужно, ибо файлы очень хочется восстановить.

Кстати я сам из СПб...

[wlademar]

Добрый день! Ситуация следующая, в связи с большим обьёмом ценной информации было принято решение заплатить злоумышленнику... человек прислал софтину и код, файлы восстановились, НО! базы 1С якобы восстановились, но по факту, не работают, предлагаю бартер, я вам софтину с ключём для данного случая, а вы помагаете мне с расшифровкой данных.... 

П.С. я не пользователь Dr/Web

[v.martyanov]

 

Добрый день! Ситуация следующая, в связи с большим обьёмом ценной информации было принято решение заплатить злоумышленнику... человек прислал софтину и код, файлы восстановились, НО! базы 1С якобы восстановились, но по факту, не работают, предлагаю бартер, я вам софтину с ключём для данного случая, а вы помагаете мне с расшифровкой данных.... 

П.С. я не пользователь Dr/Web

 

Совершенно не представляю что у вас за софтина и потянет ли она на ручное ковыряние с файлами. Так что в техподдержку.

[Ghena]

Quote
Любая информация по coderksu@gmail_com - как происходит заражение, сам троян и т.д.

Есть некоторая информация что через RDP. Самого трояна пока не удалось найти.

 

У меня сервак точно по RDP заразился, он стоит за тремя рутерами, наружу открыт только RDP порт, на серваке только 1С установлен, в папке с базой 1С CureIt нашел exe-файл с трояном Trojan.Encoder.94, по всему харду текстовый файл что всё зашифровано и т.д. и т.п. с емэйл адресом для информации. Файлам добавлено расширени LOCK, текстовые файлы первые несколько слов читабельны дальше каракули. бмп файлы тоже зафифрованы, но елси вернуть родное расширение и открыть, то они открываюся но с изменёнными цветами. По зашифрованому бэкапу базы 1С видно что зашифрован только кусок в начале файла.

[v.martyanov]

 

Quote
Любая информация по coderksu@gmail_com - как происходит заражение, сам троян и т.д.

Есть некоторая информация что через RDP. Самого трояна пока не удалось найти.

 

У меня сервак точно по RDP заразился, он стоит за тремя рутерами, наружу открыт только RDP порт, на серваке только 1С установлен, в папке с базой 1С CureIt нашел exe-файл с трояном Trojan.Encoder.94, по всему харду текстовый файл что всё зашифровано и т.д. и т.п. с емэйл адресом для информации. Файлам добавлено расширени LOCK, текстовые файлы первые несколько слов читабельны дальше каракули. бмп файлы тоже зафифрованы, но елси вернуть родное расширение и открыть, то они открываюся но с изменёнными цветами. По зашифрованому бэкапу базы 1С видно что зашифрован только кусок в начале файла.

 

В техподдержку. К этой теме ваш пост не имеет никакого отношения.

[VVS]

semak, цитирую сообщение, непосредственно предшествующее тому, которое Вы пытались написать:

В техподдержку. К этой теме ваш пост не имеет никакого отношения.

Сообщение было изменено VVS: 24 Февраль 2015 - 21:37

[VVS]

мфв, создайте новую тему.

Здесь это офтопик.

Модератор.

[SergM]

мфв, Удалил Ваш пост. Не место ему тут. Вся информация есть на форуме --  куда и как обращаться.

[мфв]

спасибо, обратился напрямую к специалисту. если он не поможет, то тут тем более

удачи

[maxic]

DMC_CRash, пост скрыт, кому надо - увидят.

[Aleks-5]

drweb.com #7149570
посмотрите. файлик с javascript

по почте сегодня пришло. отправил в вирлаб

 

Счета на оплату - согласовано главным бухгалтером и директором и отправлено контрагенту для оплаты_UGHlpYoQmR.doc.js

 

https://virustotal.com/ru/file/9ad004efc6a8587d5a109caab8d406c8ed5b259272ceb8e45504f01844b123a5/analysis/1471232007/

по нулям показывает

Сообщение было изменено Aleks-5: 15 Август 2016 - 06:40

[VVS]

Если кому-нибудь есть что-нибудь сказать по теме, то можно написать в личку v.martyanov