1 Голосов
Guru
Отправлено 16 Сентябрь 2013 - 11:40
Добрый день. Делопроизводитель в садике поймала help@ausi.com_xq112. Возможно ли восстановить файлы?
Возможно. http://forum.drweb.com/index.php?showtopic=315142
Здравствуйте. Поймали мы тут trojan sos@ausi.com_zq512
Есть ли на него дешифратор, если есть то сейчас же куплю лицензию Dr.Web. К сожалению имею только зашифрованные файлы, оригиналов не имею!
Полноценной расшифровки нет, есть частичное восстановление: http://forum.drweb.com/index.php?showtopic=315142
Личный сайт по Энкодерам - http://vmartyanov.ru/
Newbie
Отправлено 18 Сентябрь 2013 - 12:50
Можете ли Вы расшифровать файлы mambaee@aol.com_IQ5?
Guru
Отправлено 18 Сентябрь 2013 - 12:53
Можете ли Вы расшифровать файлы mambaee@aol.com_IQ5?
Открываете первое сообщение в этой теме и читаете про то, что мы можем и для каких вариантов есть полноценная расшифровка.
Личный сайт по Энкодерам - http://vmartyanov.ru/
Newbie
Отправлено 18 Сентябрь 2013 - 14:22
а возможно-ли что-то сделать с HELP@AUSI.COM_XQ127, конкретнее интересует восстановление эксель документов.
Сообщение было изменено kservice: 18 Сентябрь 2013 - 14:23
Guru
Отправлено 18 Сентябрь 2013 - 14:27
а возможно-ли что-то сделать с HELP@AUSI.COM_XQ127, конкретнее интересует восстановление эксель документов.
Это 293-й, под него специальная тема http://forum.drweb.com/index.php?showtopic=315142
С экселем все довольно плохо: даже восстановление валидной структуры MS-CFB файла не приводит к нормальному открытию документов. Надо глубже в формат лезть, а там все сложно :-(
Личный сайт по Энкодерам - http://vmartyanov.ru/
Newbie
Отправлено 18 Сентябрь 2013 - 15:19
Можете ли Вы расшифровать файлы mambaee@aol.com_IQ5?
Сегодня отправлю в поддержку файлы зашифрованные этим трояном. А также сам троян. Дайте знать, если вам ответят раньше.
The Master
Отправлено 18 Сентябрь 2013 - 20:41
KrH.EF, ответ ТП предназначен персонально для Вас, для Вашего конкретного случая.
Публиковать его не надо, а то Вы можете навредить тем, кто для своих случаев попробует применить указанное именно для Вашего случая.
Модератор.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Newbie
Отправлено 25 Сентябрь 2013 - 15:14
Здравствуйте
Есть возможность разшифровать mambaee@aol.com_IQ7 ?
в основном doc и xls файлы
Guru
Отправлено 25 Сентябрь 2013 - 15:15
Здравствуйте
Есть возможность разшифровать mambaee@aol.com_IQ7 ?
в основном doc и xls файлы
Что написано в первом посте?
Личный сайт по Энкодерам - http://vmartyanov.ru/
Newbie
Отправлено 25 Сентябрь 2013 - 16:11
Извиняюсь за возможный оффтоп, но что есть по SOS@AUSI.COM_ID85
Таких вариаций еще не встречал.
ПС Я даже не в России, а все-равно достали. Где фирмы таких сисадминов набирают. Втолковать сотрудникам не могут чего можно запускать, а чего нельзя. Про бекап вообще молчу. Так еще удалили письмо, тело вируса и откат системы сделали. Компы сказал пока отрубить, по приезду просмотрю кеш, может там тело еще осталось (на виртуалке с ним поиграюсь))). По необходимости отправлю тело и файлы офиса, 1с и фоток (возможно даже варианты до и после шифровки)
ППС Обе темы прочитал полностью.
Сообщение было изменено EXEкутор: 25 Сентябрь 2013 - 16:13
Guru
Отправлено 25 Сентябрь 2013 - 16:14
Извиняюсь за возможный оффтоп, но что есть по SOS@AUSI.COM_ID85
Таких вариаций еще не встречал.
ПС Я даже не в России, а все-равно достали. Где фирмы таких сисадминов набирают. Втолковать сотрудникам не могут чего можно запускать, а чего нельзя. Про бекап вообще молчу. Так еще удалили письмо, тело вируса и откат системы сделали. Компы сказал пока отрубить, по приезду просмотрю кеш, может там тело еще осталось (на виртуалке с ним поиграюсь))). По необходимости отправлю тело и файлы офиса, 1с и фоток (возможно даже варианты до и после шифровки)
http://forum.drweb.com/index.php?showtopic=315142 вот тут про ваш вариант.
Если нужно именно восстановление БД - оформляйте запрос через https://vms.drweb.com/sendvirus/?lng=ru (обязательно укажите номер лицензии!) и потом мне номер полученного тикета киньте. Думаю, так будет быстрее доработать софт.
Личный сайт по Энкодерам - http://vmartyanov.ru/
Newbie
Отправлено 25 Сентябрь 2013 - 16:17
Извиняюсь за возможный оффтоп, но что есть по SOS@AUSI.COM_ID85
Таких вариаций еще не встречал.
ПС Я даже не в России, а все-равно достали. Где фирмы таких сисадминов набирают. Втолковать сотрудникам не могут чего можно запускать, а чего нельзя. Про бекап вообще молчу. Так еще удалили письмо, тело вируса и откат системы сделали. Компы сказал пока отрубить, по приезду просмотрю кеш, может там тело еще осталось (на виртуалке с ним поиграюсь))). По необходимости отправлю тело и файлы офиса, 1с и фоток (возможно даже варианты до и после шифровки)
http://forum.drweb.com/index.php?showtopic=315142 вот тут про ваш вариант.
Если нужно именно восстановление БД - оформляйте запрос через https://vms.drweb.com/sendvirus/?lng=ru (обязательно укажите номер лицензии!) и потом мне номер полученного тикета киньте. Думаю, так будет быстрее доработать софт.
Спасибо. Я так думаю еще не готов рекавери?
По возвращении в Россию отправлю образцы (что удастся нарыть во всяком случае)
Guru
Отправлено 25 Сентябрь 2013 - 16:20
doc и jpg в каком-то качестве уже есть. Но из-за особенностей придется дорабатывать. Если я буду дорабатывать именно на ваших файлах - ваши файлы будут восстанавливаться хорошо.
Личный сайт по Энкодерам - http://vmartyanov.ru/
Newbie
Отправлено 26 Сентябрь 2013 - 08:31
у нас переименовал в SOS@AUSI.COM_ID94, на форуме нет по нему инфы
Guru
Отправлено 26 Сентябрь 2013 - 10:58
у нас переименовал в SOS@AUSI.COM_ID94, на форуме нет по нему инфы
Что, серьезно?! http://forum.drweb.com/index.php?showtopic=314687
Личный сайт по Энкодерам - http://vmartyanov.ru/
Newbie
Отправлено 26 Сентябрь 2013 - 11:28
прошу прощения за невнимательность...
а liveusb распознает тело вируса?
Guru
Отправлено 26 Сентябрь 2013 - 11:30
прошу прощения за невнимательность...
а liveusb распознает тело вируса?
Он обычно самоудаляется, да и зачем LiveUSB? CureIt хватит, если в базах есть.
Личный сайт по Энкодерам - http://vmartyanov.ru/
Беляш
Отправлено 26 Сентябрь 2013 - 11:48
прошу прощения за невнимательность...
а liveusb распознает тело вируса?
и лог drwebsysinfo желательно
Newbie
Отправлено 26 Сентябрь 2013 - 12:27
есть сервер терминалов, в нем работали на момент проникновения 15 человек, помимо него есть еще много нетерминальных компов, вчера в момент заражения все рабочии станции и сервер были отключены от сети и на них был запущен CureIt, после проверки и поочередного запуска, на сетевом диске снова стали шифроваться файлы, методом исключения выяснилось, что это сервер, при чем вирус работал у кого-то в сеансе, как только пользователи завершили сеансы действие вируса прекратилось, сервер при этом не отключался, сегодня утром пользователи снова вошли в сеансы и опять двадцать пять... значит CureIt его не удалил и сам он не удалился... перебирать пользователей не стали, а запустили проверку с LiveUSB, пока она еще не завершилась.
да и лог к сожалению прислать не могу, т.к. везде стоит Symantec Endpoint Protection.
Community Forum Software by IP.Board
Владелец лицензии: Doctor Web, Ltd.
