25 ответов в этой теме

[v.martyanov]

Тема создана для сбора информации и выдачи рекомендаций по группе троянов. Отличительные признаки: к файлам добавилось новое расширение, контактные данные авторов - somalia@2trom.com и somaliajaz@aol.com. Опциональный признак - при попытке открыть зашифрованный файл двойным кликом выводится картинка про сомалийских пиратов с теми же контактными данными. Если ХОТЬ ОДИН обязательный признак отличается - создавайте новую тему, ваши сообщения в этой теме будут удаляться!
 
По состоянию на 14:30 (MSK) 13.04.2013 состояние следующее:
Троянов под указанные критерии существует куча, отдельные варианты не существенны. Все они - Trojan.Encoder.94
Троян распространяется в письмах якобы от имени суда, коллекторского агенства, банка и так далее. В письме идет исполняемый файл с бэкдором. Это важно, сами файлы из писем ничего не шифруют! Все что происходит после заражения машины бэкдором - тайна, покрытая мраком, но результат известен: файлы оказываются зашифрованными.
Если я ничего не путаю, вся эта группа троянов использует AES-шифрование, так что расшифровка файлов возможна ТОЛЬКО(!!!) при наличие трояна, который файлы ШИФРОВАЛ. Соответственно, шансов на расшифровку ОЧЕНЬ мало, но попробовать можно.
 
Рекомендации:
1. Прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ зашифрованный doc/xls-файл и экспорт ветки реестра HKEY_CLASSES_ROOT в архиве в категорию Запрос на лечение. Как делать экспорт ветки написано тут. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. Если ответа нет больше 1 рабочего дня - на форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
2. Обратиться в полицию с заявлением о совершении преступления.
 
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- удалять или переименовывать ЛЮБЫЕ файлы.
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web любые дешифраторы.
 
Что мы ишем:
Ниженаписанное - для вирусхантеров. Любые эксперименты с билдером/троянами могут привести к непоправимым последствиям!
Существует 2 версии трояна - с XOR или TEA шифрованием и с AES-шифрованием. Под них должны быть билдеры и мы их ищем. Если у кого есть, особенно под AES-версию - оно нам нужно!!! Очень нужно.
Также ищем варианты троянов, которые шифруют данные и которых у нас нет. Проверяется просто: запускаете в виртуальной машине с отключенной сетью (это важно!). Файлы зашифровались - то, что нам надо. Файл в вирлаб, номер тикета в эту тему.

Сообщение было изменено VVS: 13 Апрель 2013 - 14:14

[Siriysas]

тикеты [drweb.com #4040943]. и [drweb.com #4040944].

 

запрос на лечение

 

[drweb.com #4041224]

[userr]

Siriysas,

У Вас 8 постов на форуме, но в них я насчитал 6 разных тикетов.

Вы развлекаетесь, что ли, тем, что спамите вирлаб? Или у Вас действительно заражение разными шифровщиками?

[Siriysas]

я облуживаю парк примерно в 300 персонаьных компьютеров и серверов, поэтому у меня сейчас 6 различных заражений и развлекаться мне некогда...

[userr]

я облуживаю парк примерно в 300 персонаьных компьютеров и серверов, поэтому у меня сейчас 6 различных заражений и развлекаться мне некогда...

фантастика... то есть пользователи продолжают и продолжают открывать "левые" письма и заражать себя, ведь ни один из шифровщиков не является "самоходным"... несмотря на то, что рядом у соседа похожая беда уже случилась...

 

добавлено 18.05

теперь есть и самоходные...

Сообщение было изменено userr: 18 Май 2013 - 17:29
добавлено

[p_maks]

Насколько я понял, злоумышленники получают доступ к пк после работы вируса из письма. А дальше соответственно дело техники перекинуть файлы через шару по сети...
У самого три случая шифрования, а подозрительное письмо только на одном пк
На 2 пк интервал между зашифровкой меньше 5 мин

[userr]

У самого три случая шифрования

и тоже все разные, как у Siriysas, как он нас уверяет ?

[Siriysas]

нет разные модификации, а способы одни 3 одного и 3 другово 2 через шару неверника всех на несколько раз предупреждал

[p_maks]

У меня один от сомалийских пиратов
И 2 просто с припиской эл почты после имени файла

[p_maks]

 Отчет о вирусах_заботин.zip   31,32К   8 Скачано раз

Может вот это поможет...

 

Если до понедельника получится восстановить данные, есть шансы что меня не уволят =)

Сообщение было изменено p_maks: 04 Май 2013 - 19:17

[alekshoop]

Здравствуйте. Также проблема с "сомалийскими пиратами".

Создал запрос в поддержку. Ничего пока не ответили. Я так понимаю, что из-за праздников. Поэтому есть только номер запроса.

В моей "модификации" Номер компании 50027. Все описал в Запросе и приложил файлы.

Сообщение было изменено VVS: 08 Май 2013 - 14:01

[VVS]

alekshoop, запросы в поддержку здесь никого не интересуют, более того - про то, что нужно писать в поддержку, в этой теме даже не было написано.

Номера запросов в поддержку на форуме публиковать нельзя.

Модератор.

 

PS

Внимательно прочитайте первое сообщение в этой теме.

Сообщение было изменено VVS: 08 Май 2013 - 14:04

[rockman84]

Если ответа нет больше 1 рабочего дня - на форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

 

[drweb.com #4071661]

 

 

[userr]

rockman84,

только не для случая шифровщиков, увы.

 

не надо писать одно и то же в разные темы.

Модератор.

[black_saver]

[drweb.com #4083493]
 

[VVS]

Alex the Wolf, если Вы заинтересованы в расшифровке файлов, то выполните указанное в сообщении №1 в этой теме.

Вирусы на форуме публиковать нельзя.

Модератор.

[Алекс a.k.a. Alex The Wolf]

зато материал для анализа вы получили, и, надеюсь, в лабораторию он попадёт ;-) Иначе получается, что Вы не ищете "варианты троянов, которые шифруют данные и которых у нас нет", как пишет уважаемый v.martyanov, а, наоборот, препятствуете поиску решения проблемы, в котором заинтересован, думаю, не один я. И, кстати, видимо, файлы из http://forum.drweb.com/index.php?showtopic=313480#entry665436 Вы вирусом не считаете? Зря, вот virustotal.com с Вами не согласен ;-)

[VVS]

зато материал для анализа вы получили, и, надеюсь, в лабораторию он попадёт ;-) Иначе получается, что Вы не ищете "варианты троянов, которые шифруют данные и которых у нас нет", как пишет уважаемый v.martyanov, а, наоборот, препятствуете поиску решения проблемы, в котором заинтересован, думаю, не один я. И, кстати, видимо, файлы из http://forum.drweb.com/index.php?showtopic=313480#entry665436 Вы вирусом не считаете? Зря, вот virustotal.com с Вами не согласен ;-)

Спасибо, пропустили.

[Алекс a.k.a. Alex The Wolf]

Спасибо, пропустили.

Наздоровье, обращайтесь ))

[black_saver]

[drweb.com #4083493]
 

 

Добрый люди, дайте хоть какой-нибудь ответ. Есть ли смысл ждать чего-то или можно сносить все и убивать комп с этой фигней, чтобы больше не было гадости. Файлы конечно жалко, но это не смертельно.

 

Есть подозрение, что зашифрованные файлы куда-то уходили, кто очень в них заинтересован. Т.е. это письмо было не случайное, а человек по невнимательности его открыл...