419 ответов в этой теме

[Alex_1774]

Уберите ссылку на вредоноса плз.

[v.martyanov]

Уберите ссылку на вредоноса плз.

А, точно, не заметил. Убрал.

[stracio]

 

Уберите ссылку на вредоноса плз.

А, точно, не заметил. Убрал.

 

Спасибо, что убрали. Но Вы хоть оставьте себе для анализа.

К стати я не могу выслать Вам примеры 2-х файлов (шифрованного и НЕшифрованного из бэкапа).

Просто не являюсь пользователем Dr.Web.

Сообщение было изменено stracio: 09 Октябрь 2014 - 14:12

[maxic]

stracio, не пользователями никто заниматься не будет.

[stracio]

stracio, не пользователями никто заниматься не будет.

Пользователи с данной проблемой появятся, т.к. волна пошла только вчера. А я Вам даю из первых рук данные.

Когда обратятся, у Вас уже будет представление о проблеме, что ускорит и упростит задачу.

Просто хочу помочь и Вам и Вашим пользователям.

[v.martyanov]

Проблема известна уже 2 месяца как без одного дня. И для нее даже есть частичное решение. Трояна надо отправлять в вирлаб на растерзание роботов, а не на форум выкладывать :-)

[stracio]

Проблема известна уже 2 месяца как без одного дня. И для нее даже есть частичное решение. Трояна надо отправлять в вирлаб на растерзание роботов, а не на форум выкладывать :-)

Ок. Но как мне отправить шифровальщика, если я не пользователь (нет серийного номера).

Хотя в описании есть такой пункт:

1. Запросы пользователей Dr.Web (в которых указан серийный номер), обрабатываются в первую очередь.     (т.е. без указания с.н. обрабатываются в последнюю очередь, но без указания не отправляется, сообщение: Укажите ваш лицензионный серийный номер Dr.Web)

[stracio]

Плюс ко всему http://vms.drweb.com/online/ не определяет его, как троян.

Но другие антивирусные ПО  (не указываю какие) определяют.

[v.martyanov]

https://vms.drweb.com/sendvirus/?lng=ru без серийника не отправить?

[stracio]

https://vms.drweb.com/sendvirus/?lng=ru без серийника не отправить?

При запросе на лечение, нет. Только "Подозрение на вирус" отправил.

Спасибо.

Сообщение было изменено stracio: 09 Октябрь 2014 - 14:45

[stracio]

Проблема известна уже 2 месяца как без одного дня. И для нее даже есть частичное решение. Трояна надо отправлять в вирлаб на растерзание роботов, а не на форум выкладывать :-)

Это частичное решение где-то обнародовано или просто у Вас ведутся работы еще?

[v.martyanov]

 

Проблема известна уже 2 месяца как без одного дня. И для нее даже есть частичное решение. Трояна надо отправлять в вирлаб на растерзание роботов, а не на форум выкладывать :-)

Это частичное решение где-то обнародовано или просто у Вас ведутся работы еще?

 

А оно и не обязано быть обнародовано. Если к нам обращаются зарегистрированные пользователи - его выдаем. Каждому встречному его выдавать не будем, ясное дело.

[stracio]

 

 

Проблема известна уже 2 месяца как без одного дня. И для нее даже есть частичное решение. Трояна надо отправлять в вирлаб на растерзание роботов, а не на форум выкладывать :-)

Это частичное решение где-то обнародовано или просто у Вас ведутся работы еще?

 

А оно и не обязано быть обнародовано. Если к нам обращаются зарегистрированные пользователи - его выдаем. Каждому встречному его выдавать не будем, ясное дело.

 

Ок, тогда приобрету у Вас коммерческую лицензию и попытаю счастье на дешифровку.

[stracio]

Добавили в Вашу базу к следующему обновлению :-)

Спас многих.

 

Уважаемый (-ая) in@stepan.in,
Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.

Угроза: Trojan.Encoder.741

Спасибо за сотрудничество.
To reсeive notifications in English, send a blank email to lang@rt-web.dev.drweb.com
--
С уважением,
Служба вирусного мониторинга ООО "Доктор Веб"

Категория: VIRUS LINK

Сообщение было изменено stracio: 09 Октябрь 2014 - 15:01

[Maximax]

Здравствуйте, нужно дешифровать файл после заражения вирусом формата xlsx.адрес в расширении стоит ( keybtc@gmail.com) скажите , возможно ли это в лаборотории dr.web? могу заплатить за расшифровку одного файла или лучше купить лицензию dr.web и спасет ли меня это ? 

[v.martyanov]

Здравствуйте, нужно дешифровать файл после заражения вирусом формата xlsx.адрес в расширении стоит ( keybtc@gmail.com) скажите , возможно ли это в лаборотории dr.web? могу заплатить за расшифровку одного файла или лучше купить лицензию dr.web и спасет ли меня это ? 

http://forum.drweb.com/index.php?showtopic=318074

[serjik]

прошло два месяца, а варианта расшифровать файлы decrypt@india.com так и не появились. И техподдержка dr web по прежнему разводит руками. 

Вот тот случай когда разработчики антивируса оказались слабее вирусописателей )

[v.martyanov]

прошло два месяца, а варианта расшифровать файлы decrypt@india.com так и не появились. И техподдержка dr web по прежнему разводит руками. 

Вот тот случай когда разработчики антивируса оказались слабее вирусописателей )

Не вам это говорить: вы за два месяца даже не попытались что-то узнать о том, в чем сейчас считаете себя "экспертом" и выносите такие вердикты.

[stracio]

В пролдолжение...

Выудил у них дешифровщик, который написан на Дэлфи, легко декомпилируется.

Есть и другие в сети с ID и ключами. (переименование своих и подстановка не помогает).

Возможно KEY.PRIVATE или подобный хранит чать клюдча на ПК жертвы.

Все файлы есть. (decrypt.exe у них уже 2 мес без изменений).

Все происходит локально. Единстьвенное, передается ID на сервер www.decryptindia.com, где, как не смешно "сайт радио" с анекдотами по теме Германия.

А IP сервера india.com (mail.india.com = zmail.com) тоже в Германии. Пы.Сы.: india.com - на WordPress с дырами)))

Это все, что успел за 2 дня после заражения расследовать)

[Михайло]

Коллеги подхватил тоже такую заразу- поясните я не программист. Можно ли выйти из положения  если переустановить  виндос заново?, или все же эта зараза останется ? На компе ничего  ценного просто нет.