85 ответов в этой теме

[v.martyanov]

Признаки трояна: имеется файл C:\decrypting.txt содержащий email specialmist@gmail.com, расширение файлов не менялось. Если хоть один признак не совпадает - вам в другую тему.

 

По состоянию на 11:50 (MSK) 19.04.2013 состояние следующее:

Распространение началось в районе 15-16 часов по Москве 17.04.2013. Расшифровка возможна в автоматическом режиме!

 

Рекомендации:

Скачать на пораженную машину ftp://ftp.drweb.com/pub/drweb/tools/te215decrypt.exe и запустить. Утилита создает КОПИИ файлов, соответственно у вас должно хватать места на дисках для них.

 

Если утилита не расшифровала файлы или расшифровала неправильно:

Пишите в свою заявку об этом. Если заявки нет - сообщите о проблеме в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/  в категорию Запрос на лечение.

 

 

Что НЕ нужно делать:
- переустанавливать операционную систему;
- удалять или модифицировать C:\decrypting.txt

- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web любые дешифраторы, кроме te215decrypt.exe

- В случае неудачной расшифровки при помощи te215decrypt.exe пытаться решить проблему без консультации с вирусным аналитиком Dr. Web

Сообщение было изменено v.martyanov: 19 Апрель 2013 - 10:46

[Ivet]

Вашему запросу назначен идентификатор [drweb.com #4015929].

 

Схватили вирус, в корпоративной сети, веб не спас.

specialmist@gmail.com

 

Немогу понять как он себя ведет, распостраняется ли он сам по сети?

Можно ли на зараженном компьютере открывать файлы по сети или они тоже заражаются? Жду дешифровщик.

[gangsterya]

аналогичная ситуация
вирус пришел по электронной почте. заражена пока одна машина, файлы .doc .xls .jpg .txt не открываются
тоже вопрос волнует о сети. пока отключил на всякий случай из сети. 
C:\Program Files\Windows Update - создалось 2 файла - "update.bat" и "update.exe" - в корне диска С - файлики "decrypting.txt" и  "decrypting.jpg"

содержание файла "decrypting.txt" прилепил

 

 

Прикрепленные файлы:

•  decrypting.txt   1,39К   70 Скачано раз

[v.martyanov]

Читать ВНИМАТЕЛЬНО что написано. Делать СТРОГО так, как написано.

[Ivet]

Сделал согласно, правилам,  новый тикет

Пожалуйста, включайте строку:           [drweb.com #4018252].

[vyshgorod]

Хелп........ все файлы накрылись, а что самое главное и фалы БД

[v.martyanov]

Хелп........ все файлы накрылись, а что самое главное и фалы БД

Читать ВНИМАТЕЛЬНО что написано. Делать СТРОГО так, как написано.

[vyshgorod]

 

Хелп........ все файлы накрылись, а что самое главное и фалы БД

Читать ВНИМАТЕЛЬНО что написано. Делать СТРОГО так, как написано.

 

Самое главное что антивирус что то нашел и все удалил!!!!

[andrew82]

Таже беда.

Связался в вымогателями, они расшифровали мне один файл, упаковал в архив зашифрованный файл, расшифрованый, файл с ключем, заполнил форму отправил как по инструкции, все прошло, но не могу понять где брать номер тикета, письмо не пришло, спам проверял.

На почтовом сервере в архиве есть еще само письмо которое получил пользователь, в письме файл с расширением "doc" (а по сути это не doc а rtf в который встроена картинка с експлойтом) заливаю этот файл на virustotal и только два антивирусника из 46-ти на него срабатывают.

Сообщение было изменено andrew82: 18 Апрель 2013 - 12:10

[VVS]

vyshgorod, подобные вопросы не для этого форума.

Вы запрос оформили и тикет уже получили?

Сообщение было изменено VVS: 18 Апрель 2013 - 12:29

[andrew82]

О! мне письмо пришло, вот мой тикет [drweb.com #4018331]

Сообщение было изменено VVS: 18 Апрель 2013 - 12:32
Перепитии общения с технокрысами обсуждайте где-нибудь в другом месте.

[gangsterya]

andrew82, "doc" файлик я тоже проверял. а вот если проверить "updates.exe" (где находится описывал выше) - то на него срабатывают уже  23 из 45 (на вирустотале)

[odemara]

Добрый день! мой тикет [drweb.com #4016252] .Скажите когда проблема решится?работать надо, а все файлы закодированы.

а на другой машине даже нету C:\decrypting.txt , но файлы закодированы.бред полный

[v.martyanov]

Когда решится тогда и решится. И чем меньше будет вопросов "а когда?" и сообщений "А вот у меня еще..." тем быстрее.

[snowman333]

День добрый, та же проблема, тикет  [drweb.com #4018426].

[userr]

ВСЕМ ПЕРЕЧИТАТЬ ПОСТ №1.

[airwanderer]

Спасибо! Работает!

 

Только фаилы которые вирус не затронул - на них ваш декриптор создает не рабочую копию.

 

И подскажите как в этой килотонне фаилов навести порядок?

[airwanderer]

Во время работы декриптора была вставлена флешка с Hiren's USB ,  декриптор зациклился на фаилах archive 7z а и начал декриптить их - вечно, декриптор-на-декриптор....успел раз 5 пока я не остановил.

[AndySouth]

Добрый вечер, тикет  [drweb.com #4018273].

Подскажите есть ли необходимость удаления самого червя и как это сделать.

я имею ввиду что после расшифровки файлов не зашифрует ли он их обратно еще раз?

[vyshgorod]

Админ.... ты просто красавчегггггггг, респектище тибе, все росшивровало!!!!!