1248 ответов в этой теме

[Refbux]

VVS, каюсь, виноват.... Это от безвыходности.

Нужно пойти с мыслью переспать!

[RomaNNN]

Refbux, спасибо за действительно интересный семпл. Хитро работает, загружается через эксплоит в host print driver-е, далее удаляет все теневые копии через встроенные средства (vssadmin delete shadows all), а потом шифрует от имени explorer.exe.

 

Буду разбирать по косточкам его, не дело что превентивка такое пропускает. Пока это самый интересный энкодер, который я видел.

Сообщение было изменено RomaNNN: 20 Январь 2015 - 03:02

[FD_Archy]

Refbux, спасибо за действительно интересный семпл. Хитро работает, загружается через эксплоит в host print driver-е, далее удаляет все теневые копии через встроенные средства (vssadmin delete shadows all), а потом шифрует от имени explorer.exe.

 

Буду разбирать по косточкам его, не дело что превентивка такое пропускает. Пока это самый интересный энкодер, который я видел.

Отпишешься о результатах? Столкнулся с такой же бедой, что делать пока неясно.

[Refbux]

RomaNNN, рад любой помощи! В ожидании... 

[GrizuMyasko]

Здравствуйте, не может ли кто-нибудь подсказать, что это за енкодер и каковы шансы на расшифровку? 

 

"Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

FBFA1728F4870B3A6945|56|2|7

на электронный адрес bicode01@aol.co.uk или bicode01@mail.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."

создает расширение "XTBL"

 

первое сообщение прочитано, по ссылки  http://drw.sh/reg ничего похожего не найдено, в тп, пока, не обращалась

[v.martyanov]

Encoder.858. Про шансы: считаем что есть, пока не доказано обратное.

Сообщение было изменено v.martyanov: 20 Январь 2015 - 16:40
Поправил пунктуацию

[GrizuMyasko]

Спасибо за ответ, в ближайшее время приобрету лицензию и обращусь в тп

[maza11]

    Утром на одном из компьютеров, почте, что то схватили, зашифровались все документы excel, word и почта outlook.
    С виндой то фиг с ней, переустанавливаю сейчас ,чтоб наверняка избавиться от вируса. Но документы восстановить надо, причем зашифровало и на сетевом диске.

    Вот зашифрованный файл отчет.XLS.cskqumn
    http://rghost.ru/60452912

с большей долей вероятности вирус был из этого письма [вирусы на форуме публиковать запрещено]

там внутри instituter.zip файл с instituter.sc который Win32/TrojanDownloader.Elenoocka.A. , а он уже скачал какой то шифровальщик.
Отчет вирустотал https://www.virustotal.com/ru/file/8a4115f9f7ec4aadb8fcb439354943b9969680668ac253a3169c9a9205811cd3/analysis/1421753822/

 

Уже понял что винду переустанавливать не надо было, но с шифровальщиком столкнулся в первый раз, поэтому не знал что делать. А сотруднику надо было работать.

Сообщение было изменено VVS: 20 Январь 2015 - 17:21

[v.martyanov]

Вы хвастаетесь?

[maza11]

Вы хвастаетесь?

ни в коем случае, спрашиваю совета.

До этого с вирусами шифровальщиками не сталкивался, поэтому сразу не знал что делать. Да и сейчас не знаю, знаю что винду сносить не надо было (

[v.martyanov]

 

Вы хвастаетесь?

ни в коем случае, спрашиваю совета.

До этого с вирусами шифровальщиками не сталкивался, поэтому сразу не знал что делать. Да и сейчас не знаю, знаю что винду сносить не надо было (

 

Вы излагаете факты, то есть хвастаетесь, получается. Вопросов не вижу, но ответы на них уже даны в первом сообщении темы.

[Refbux]

Refbux, спасибо за действительно интересный семпл. Хитро работает, загружается через эксплоит в host print driver-е, далее удаляет все теневые копии через встроенные средства (vssadmin delete shadows all), а потом шифрует от имени explorer.exe.

Скажите, если бы я работал не под учетной записью Администратора, получилось бы так же? Или он (семпл) не смог бы выполнять выше указанные действия?

[v.martyanov]

Если у не-админа есть права на изменение файла - они будут и у трояна, которого этот юзер запустит.

[Refbux]

v.martyanov, понял!

[RomaNNN]

Refbux, спасибо за действительно интересный семпл. Хитро работает, загружается через эксплоит в host print driver-е, далее удаляет все теневые копии через встроенные средства (vssadmin delete shadows all), а потом шифрует от имени explorer.exe.

Скажите, если бы я работал не под учетной записью Администратора, получилось бы так же? Или он (семпл) не смог бы выполнять выше указанные действия?

Да, только что проверил с ограниченной учетной записью, все шифрует.

[Refbux]

Да, только что проверил с ограниченной учетной записью, все шифрует.

Вон оно как! .....

[v.martyanov]

А кто-то сомневался?

[Qulubeyli-133]

Здравствуйте, у меня такая проблема . К нам пришло сообщение из Латвии от нашего кампанена. После того как секретарша открыла почту (там была сканированный файл сохраненный в зип папке) все Вордовкие , Екселевские файлы зашифровались   и несколько jpg файлы. Все почты после этого удалился сам по себе (наверно из за вируса). посоветуйте что делать. нужно вернуть файлы хот половину. я тут прочел  про te102decrypt. но нужен ваш советь уважаемые Аналитики.  к примеру файл раньше называлась так 05.11.14.XLSX а шас превратился  05.11.14.XLSX .pmpptdb. посоветуйте что делать. 

[maxic]

Qulubeyli-133, прочитать первое сообщение темы для начала.

[translator]

Добрый день!

 

Поймал где-то CTB-Locker, который переименовал и зашифровал файлы. У файлов появилось название *.llicwui

 

К сожалению, до сегодняшнего дня я не знал о рекомендациях, которые даются на этом форуме (не чистить, не лечить, сохранить логи), поэтому за вчерашний день в приступе паники и чистил, и лечил, и удалял. Осталась ли хоть какая-то возможность восстановить файлы? Пострадали все семейные фотографии, терять которые очень жалко. Судя по всему моя проблема аналогична этой: http://forum.drweb.com/index.php?showtopic=319874, но, насколько я понимаю, дешифраторы для одного вируса не подходят для другого. Помогите, пожалуйста! Если необходимо, я могу выслать несколько поврежденных файлов.

 

Спасибо!