Тема закрытаДа, кстати, если закодирован "РАСШИФРОВАТЬ.txt", это значит что комп был перезапущен, и шифратор доделал своё грязное дело.
Зашифрованы файлы, marikol8965@yahoo.com
Автор
v.martyanov
, июн 17 2013 16:48
647 ответов в этой теме
#62
goran
-
- Posters
- 5 Сообщений:
Newbie
Отправлено 18 Июнь 2013 - 16:40
goran, а Message-ID: какой?
Судебное постановление №1130797817
#63
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 18 Июнь 2013 - 16:41
Да, кстати, если закодирован "РАСШИФРОВАТЬ.txt", это значит что комп был перезапущен, и шифратор доделал своё грязное дело.
это значит протупили в алгоритме
исключить имя файла несмотря на маску не сложно.
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#64
goran
-
- Posters
- 5 Сообщений:
Newbie
Отправлено 18 Июнь 2013 - 16:43
Юхим said- шутка)goran, а Message-ID: какой?
Судебное постановление №1130797817
Message-ID: <e56da9940c2af67b0bd2cfbde0e6e2d6@www.bersar.kz>
#65
dimmon3
-
- Posters
- 11 Сообщений:
Newbie
Отправлено 18 Июнь 2013 - 16:49
Поэксперименировав ещё удалось узнать, что updates.exe если ему удается соединиться с ru109.activeby.net и он получает ОК на http запрос идет дальше по адресам:
microsoftwordupdates.biz
microsoftsupdates.org
все это один и тот же адрес 178.159.253.110
сначала идет запрос: GET microsoftwordupdates.biz/u.php?id=BC7AFC31 HTTP/1.1\r\n
потом GET microsoftsupdates.org/log.php?id=BC7AFC31&pwd=749516315:oFn473qw2YsDomZOgCaJ3jNQ2nanrgfBn3ETAaEaVkbu1Hd5uwuTLNYGbvYZYKrEGs4EuV0uV4lsX6V04lDCda6DG2DVYCkKtmBIJtvU4LNUbLcUcICdKC5TnrHfxX7iz6MLCAzRrph4v6QKK8Rf437HaGFKFXFclOtLLIkPhnvRxCoA8YfxaUye36&a
#66
Beavis_cool
-
- Posters
- 28 Сообщений:
Newbie
Отправлено 18 Июнь 2013 - 16:52
ыыы.. открыл http://microsoftsupdates.org/log.php
Warning: mysql_connect() [function.mysql-connect]: Can't connect to MySQL server on 'db02.hostline.ru' (101) in /home/user1108507/www/microsoftsupdates.org/log.php on line 14
Warning: mysql_select_db() [function.mysql-select-db]: Access denied for user 'user1108507'@'localhost' (using password: NO) in /home/user1108507/www/microsoftsupdates.org/log.php on line 15
Warning: mysql_select_db() [function.mysql-select-db]: A link to the server could not be established in /home/user1108507/www/microsoftsupdates.org/log.php on line 15
Warning: mysql_query() [function.mysql-query]: Access denied for user 'user1108507'@'localhost' (using password: NO) in /home/user1108507/www/microsoftsupdates.org/log.php on line 17
Warning: mysql_query() [function.mysql-query]: A link to the server could not be established in /home/user1108507/www/microsoftsupdates.org/log.php on line 17
Warning: mysql_close(): no MySQL-Link resource supplied in /home/user1108507/www/microsoftsupdates.org/log.php on line 18
ok
Сообщение было изменено Beavis_cool: 18 Июнь 2013 - 16:52
#67
Юхим
-
- Posters
- 21 Сообщений:
Newbie
Отправлено 18 Июнь 2013 - 16:56
goran, а реальный отправитель тотже ? admin@24-host.com?
#68
goran
-
- Posters
- 5 Сообщений:
Newbie
Отправлено 18 Июнь 2013 - 17:02
goran, а реальный отправитель тотже ? admin@24-host.com?
Да.
#69
Artym
-
- Posters
- 21 Сообщений:
Newbie
Отправлено 18 Июнь 2013 - 19:17
Плошадка связи, похоже, белорусская. Нужно писать на абус, чтобы блокировали хотя бы ip серверов.
http://www.who.is/whois/ru109.activeby.net
http://www.who.is/whois/microsoftwordupdates.biz
http://www.who.is/whois/microsoftsupdates.org
178.159.252.109
86.57.246.186
178.159.250.30
http://www.whoismind.com/ip/86.57.246.186.html
ivan.semernik@dc.beltelecom.by
dimon@mck.beltelecom.by
http://www.whoismind.com/ip/178.159.252.109.html
http://www.whoismind.com/ip/178.159.250.30.html
abuse@active.by
#70
Mikhail_Mashkov
-
- Posters
- 4 Сообщений:
Newbie
Отправлено 18 Июнь 2013 - 20:08
Подскажите, можно ли продолжать пользоваться зараженным компьютером или есть риск утечки конфиденциальной информации? Этот троян только шифрует?
#71
Juiceeguy
-
- Posters
- 11 Сообщений:
Newbie
Отправлено 18 Июнь 2013 - 22:16
До сих пор не могу врубиться как эта падла умудрилась просочиться. вообще никаких левых писем не открывал.
Найти бы и руки отрубить по плечо чтоб не повадно было...ну да ладно.
Господа специалисты)) помимо зашифрованных файлов перестала работать почта (outlook). После включения компьютера утром при запуске почта начал запускаться процесс установки какого то элемента MS Word с запросом дать файл PRO11.msi
Указание пути к файлу ничего не дало. Позже при перезагрузке выскакивало что не установлен WINWORD.EXE.
Прилагаю архив со следующим содержимым:
1) Лог CureIT
2) Лог Hijackthis
3) Лог DrWebSysInfo - лог не полный, т.к. при работе утилиты выбивает ошибку (принтскрин окна с ошибкой так же в архиве)
4) Фото списка того что обнаружил и зачистил CureIT вчера
5) Собственно файл "Расшифровать" и парочку других зашифрованных файлов в добавок.
Заранее громадная благодарность за помощь!
PS. Тикет: [drweb.com #4175970]
Сообщение было изменено Juiceeguy: 18 Июнь 2013 - 22:18
#72
DaveW
-
- Posters
- 19 Сообщений:
Newbie
Отправлено 18 Июнь 2013 - 22:55
У меня 17.06, приблизительно в 15:30 рабочий ноутбук, подвис на пару минут, потом я увидел это чудо.
стоит (или стояла) 7-ка, 64.
Кроме умерших файлов, не работает клиент-банк, 1С - очень большая ...ОПА.
Похоже что отправитель -
Зинаида Попова » тема: Заказ для ********@ukr.net
Я не стал сеёчас дома открывать даже это через браузер.
Не хочу ещё и весь домашний архив фото потерять.
Отсылал Вам файлы на почту -
[drweb.com #4175725]
ОЧЕНЬ ЖДЕМ СПАСЕНИЯ .......
#73
DaveW
-
- Posters
- 19 Сообщений:
Newbie
Отправлено 18 Июнь 2013 - 23:01
У всех зашифровались все файлы на всех дисках, или только мне так повезло ???
#74
Iboz
-
- Posters
- 3 Сообщений:
Newbie
Отправлено 18 Июнь 2013 - 23:14
У всех зашифровались все файлы на всех дисках, или только мне так повезло ???
На всех дисках зашифровались doc, xls, jpg, ещё файлы баз данных... Так что всем "повезло"... 
#75
pavel_kish
-
- Posters
- 3 Сообщений:
Newbie
Отправлено 18 Июнь 2013 - 23:57
Добрый день!
Такая же шляпа произошла сегодня, пришло письмо на рабочую почту от "Судебных приставов", дома на моем компьютере открыли это письмо, и приложенные файлы. В районе 23 или 00 часов, произошел сбой системы, все начало тупить, лагать, и глючить, пришлось сделать хард-резет - итог, зеленый фон, все файлы оканчивается на marikol8965@yahoo
Надеюсь на скорое решение этой проблемы.
из письма лаборатории:
"Вашему запросу назначен идентификатор [drweb.com #4177515]."
#76
SergM
-
- Moderators
- 9 387 Сообщений:
Guru
Отправлено 19 Июнь 2013 - 00:01
pavel_kish, Если запрос оформлена в правильной категории, то ждите ответа на свою почту.
#77
Xrenn
-
- Posters
- 12 Сообщений:
Newbie
Отправлено 19 Июнь 2013 - 00:34
Не зашифрованный файл "РАСШИФРОВАТЬ.txt" находиться на рабочем столе, в теле письма адрес e-mail и отправитель каждый раз генерируется по разному.
Сообщение было изменено Xrenn: 19 Июнь 2013 - 00:35
#78
SergM
-
- Moderators
- 9 387 Сообщений:
Guru
Отправлено 19 Июнь 2013 - 00:40
Xrenn, Вы к кому? Задайте вопрос (если таковой есть) в ответ на созданный Вами тикет в правильной категории.
#79
TrolRoot
-
- Posters
- 10 Сообщений:
Newbie
Отправлено 19 Июнь 2013 - 08:52
Уже четвертый день пошёл, как шифратор в сети, однако ни на одном сайте нет информации о том, что такая гадость существует. Ни на каспере, ни на вебе, ни в новостях...
Боюсь, что многие будут раскошеливаться.
#80
Юхим
-
- Posters
- 21 Сообщений:
Newbie
Отправлено 19 Июнь 2013 - 09:04
DaveW, pavel_kish, а реальный отправитель кто? предлагаю создать список отправителей, чтоб блокировать почту.
1. admin@24-host.com
