Могут ли помочь "расследованию" чистый файл и его зашифрованная копия? Вместе с КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt decrypting.txt decrypting.jpg
.
Да, естественно.
Отправьте всё это в вирлаб в нужную категорию.
Отправлено 07 Июнь 2013 - 16:40
Могут ли помочь "расследованию" чистый файл и его зашифрованная копия? Вместе с КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt decrypting.txt decrypting.jpg
.
Да, естественно.
Отправьте всё это в вирлаб в нужную категорию.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Отправлено 07 Июнь 2013 - 16:50
отправил. Категория "запрос на лечение". Удачного поиска решения
Отправлено 07 Июнь 2013 - 16:55
создал тикет
drweb.com #4127707
отправил зашифрованный, оригинальный файл и предположительно сам вирус
жду решения
Отправлено 07 Июнь 2013 - 20:58
отправил через Ваш скрипт вордовский файл-заражатель )) думаю с ним чуть проще будет?
(пока к сожалению в фильтры почты добавить нечего (( только 1 адрес и 1 тема , подозреваю что их будет под сотню (( )
Сообщение было изменено Djohny: 07 Июнь 2013 - 21:00
Отправлено 07 Июнь 2013 - 21:05
отправил через Ваш скрипт вордовский файл-заражатель )) думаю с ним чуть проще будет?
номер запроса? (тикета)
(пока к сожалению в фильтры почты добавить нечего (( только 1 адрес и 1 тема , подозреваю что их будет под сотню (( )
о чём это?
Отправлено 07 Июнь 2013 - 22:08
А я вот так и не нашел, файл вирус. Хотя подозреваю что пришло резюме с сайта по поиску рабочих (они их не контролируют вобще), так как пострадал только пк из отдела кадров....
Отправлено 07 Июнь 2013 - 23:01
Дивная зараза... Пол дня пытаюсь на другой машине специально запустить его а никакой реакции...
Отправлено 07 Июнь 2013 - 23:27
Дивная зараза... Пол дня пытаюсь на другой машине специально запустить его а никакой реакции...
Может это просто DownLoader который качает из инета сам энкодер. Вы тикет оформите, туда его скиньте с комментариями, аналитик посмотрит.
Отправлено 08 Июнь 2013 - 00:48
все сбрасывал... и закодированный и оригинал, и все файлы что cureit увидел как опасные... и сам .doc что предшествовал этому всему... и с аналитиком общались еще с обеда... это просто так были мысли вслух и надежда таки найти тот троян... была просто надежда что он не успеет все отработать и его можно будет увидеть сканером и тоже отправить...
Отправлено 08 Июнь 2013 - 12:19
отправил через Ваш скрипт вордовский файл-заражатель )) думаю с ним чуть проще будет?
номер запроса? (тикета)
drweb.com #4127948
(пока к сожалению в фильтры почты добавить нечего (( только 1 адрес и 1 тема , подозреваю что их будет под сотню (( )
о чём это?
о том что адреса с которых приходят заведомо зараженные письма сразу сбрасывать в карантин не пересылая пользователям, правда в моем списке пока только 3 адреса но с них уже больше 2 десятков писем в карантине валяются.
Отправлено 08 Июнь 2013 - 14:11
я правильно понимаю, что не карантин антивируса имеется ввиду, а средствами почтовой системы письма с опред. адресов сразу идут в "спецхран"? тогда хорошо бы аккуратно вытащить их оттуда и проверить на https://www.virustotal.com/ru/ . Если там есть вирусы, не определяемые drweb, то заслать их в вирлаб.о том что адреса с которых приходят заведомо зараженные письма сразу сбрасывать в карантин не пересылая пользователям, правда в моем списке пока только 3 адреса но с них уже больше 2 десятков писем в карантине валяются.
Отправлено 08 Июнь 2013 - 15:39
[drweb.com #4128932].
отправил в экзешник который судя по всему делает эту пакость.
то файлы у вас не шифрованы? это хорошо.
покажите результат проверки этого файла на https://www.virustotal.com/ru/ .
Отправлено 08 Июнь 2013 - 15:48
файлы зашифрованы, на вирустотал только 3 из 47 определили что это вирус.
Отправлено 08 Июнь 2013 - 15:58
файлы зашифрованы,
и что вы сделали в связи с этим?
на вирустотал только 3 из 47 определили что это вирус.
покажите ссылку!
Отправлено 08 Июнь 2013 - 16:01
Проверил на виртуалке, шифрует все что может.
Отправлено 08 Июнь 2013 - 16:08
Trustful,
я хотел сказать вот что
- спасибо за присланный (вероятно) вирус
- если у Вас есть проблема с шифрованными файлами, то в посте 2 сказано, что делать
- если проблем нет - хорошо!
Отправлено 09 Июнь 2013 - 20:54
я правильно понимаю, что не карантин антивируса имеется ввиду, а средствами почтовой системы письма с опред. адресов сразу идут в "спецхран"? тогда хорошо бы аккуратно вытащить их оттуда и проверить на https://www.virustotal.com/ru/ . Если там есть вирусы, не определяемые drweb, то заслать их в вирлаб.о том что адреса с которых приходят заведомо зараженные письма сразу сбрасывать в карантин не пересылая пользователям, правда в моем списке пока только 3 адреса но с них уже больше 2 десятков писем в карантине валяются.
https://www.virustotal.com/ru/file/2ef59af039f4eb7f778886cafce4972d4db297487c730e6cd8e9e75de2323d2a/analysis/1370800282/ уже наконец определяются 9 из 46
Сообщение было изменено Djohny: 09 Июнь 2013 - 20:54
Отправлено 10 Июнь 2013 - 09:20
Проверил на виртуалке, шифрует все что может.
У меня попался такой же exe-шник
13706033427.exe
Только он успел отработать на одной машине.
Нужен раскодировщик.
Отправлено 10 Июнь 2013 - 09:55
Всем добрый день.
Принесли мне в пятницу винт из другой организации с такой заразой для лечения. Погуглив нашел на тот момент только 4 ссылки, включая и этот форум. Т.к. лекарства на тот момент небыло и, я так понял, нет и сейчас, то решил поступить по другой схеме. Что бы зашифровать файл, вирус копировал их считывал с винта, шифровал, записывал под новым именем и удалял оригинал. Воспользовавшись прогами по восстановлению удалённых файлов востановил важную инфу, показал юзеру и тот пока остался доволен, то что було нужно восстановилось.
Пробуйте, удачи.
0 пользователей, 1 гостей, 0 скрытых