Признаки заражения: Файлы зашифрованы, известны следующие варианты (xxx - цифры):
Дополнительное расширение *.HELP@AUSI.COM_XQxxx, *.HELP@AUSI.COM_XOxxx, контактный email - HELP@AUSI.COM
Дополнительное расширение *.sos@ausi.com_ZQxxx, контактный email - sos@ausi.com
Дополнительное расширение *.SAD@FIREMAN.NET_AMxxx, контактный email - SAD@FIREMAN.NET
Дополнительное расширение *.COMODO@EXECS.COM_hexxxx, контактный email - COMODO@EXECS.COM
Дополнительное расширение *.SOS@AUSI.COM_IDxxx, контактный email - SOS@AUSI.COM
Дополнительное расширение *.ZANZIBAR@umpire.com_ZAxxx, контактный email - ZANZIBAR@umpire.com
Дополнительное расширение *.REDBULL@PRIEST.COM_RBxxx или *.REDBULL@PRIEST.COM_RExxx контактный email - REDBULL@PRIEST.COM
Дополнительное расширение *.Heinz@oaht.com_hxxx, контактный email - Heinz@oath.com
Дополнительное расширение *.NUMBAZA@SEZNAM.CZ_Qxxx, контактный email - NUMBAZA@SEZNAM.CZ
Дополнительное расширение *.backspace@riseup.net_xxx, контактный email - backspace@riseup.net.
Дополнительное расширение *.SOS@AUSI.COM_FGxxx
Дополнительное расширение *.numlock@riseup.net_*, контактный email - numlock@riseup.net
Дополнительное расширение *.starpex@riseup.net_*, контактный email - starpex@riseup.net
Дополнительное расширение *.HELP@AUSI.COM_XE, контактный email - HELP@AUSI.COM
Дополнительное расширение *.numlock@2riseup.net_*
Дополнительное расширение *.HELP@AUSI.COM_DE*
Дополнительное расширение *.oduvansh@aol.com_*, контактный email - oduvansh@aol.com
Дополнительное расширение *.evromaidan2014@aol.com_*, контактный email evromaidan2014@aol.com (не путать со случаями БЕЗ расширения!)
Дополнительное расширение *.byaki_buki@aol.com_*
Дополнительное расширение *.iizomer@aol.com_*
Дополнительное расширение *.Support@casinomtgox.com*, обычно *.Support@casinomtgox.com_lot*
Дополнительное расширение *.kolobocheg@aol.com_*
Дополнительное расширение *.anna_stepanova@aol.com_*
Дополнительное расширение *.two@AUSI.COM, *.ONE@AUSI.COM
Дополнительное расширение *.moshiax@aol.com_*
Дополнительное расширение *.contact@casinomtgox.com
Если ваш вариант отличается от приведенных ваше - вам в другую тему.
Информация по трояну: Trojan.Encoder.293 - видоизмененный Trojan.Encoder.102, который сильнее портит файлы.
Расшифровка: Полноценной расшировки нет и она невозможна без приватной части ключа, которая есть только у авторов утилиты и в расшифровщиках их авторства. Соответственно, нам эти расшифровщики нужны. В техподдержке имеется утилита для приемлемого восстановления JPG, DOC и DBF-файлов. Восстановление других типов файлов - по запросу в техподдержку. Кроме того, SOS@AUSI.COM_ID, ZANZIBAR@umpire.com_ZA и REDBULL@PRIEST.COM_RB восстанавливаются ХУЖЕ всех предыдущих. *COMODO@EXECS.COM_hex поддерживаются, судя по всему, до hex300, а может и больше.
Имеется полноценная расшифровка для следующих вариантов:
uas@nonpartisan.com_IQxxx, варианты IQ233, IQ262, IQ289, IQ299
starpex@riseup.net_500
sos@ausi.com_ZQxxx, варианты ZQ500-501, ZQ503-504, ZQ508, ZQ510, ZQ512-513
Heinz@oaht.com_hxxx, варианты h10-11, h28, h35, h51
HELP@AUSI.COM_XQ100-112, XQ116-117, XQ119, XQ121-124, XQ126-128
SAD@FIREMAN.NET_AMxxx, варианты AM103, AM106, AM110, AM126
SOS@AUSI.COM_IDxxx, варианты ID81, ID85, ID87, ID91-92, ID96, ID98, ID100, ID103-1110, ID112, ID114
COMODO@EXECS.COM_hexxxx варианты hex15, hex30, hex37, hex43, hex50, hex151, hex161, hex301, hex321
ZANZIBAR@umpire.com_ZAxxx, варианты ZA149, ZA151, ZA701, ZA705, ZA707
REDBULL@PRIEST.COM_RBxxx, варианты RB303, RB315, RB325, RB331, RB335-336, RB348
REDBULL@PRIEST.COM_RExxx, варианты RE303, RE309, RE312, RE316, RE319, RE325, RE328, RE335, RE806, RE813
HELP@AUSI.COM_XO100-102
HELP@AUSI.COM_XO104-105
HELP@AUSI.COM_XO109 (спасибо пользователю форума!)
HELP@AUSI.COM_XO111
HELP@AUSI.COM_XO113
HELP@AUSI.COM_XO121
HELP@AUSI.COM_XO128
HELP@AUSI.COM_XO143
NUMBAZA@SEZNAM.CZ_Q507
NUMBAZA@SEZNAM.CZ_Q508
NUMBAZA@SEZNAM.CZ_Q514
NUMBAZA@SEZNAM.CZ_Q530
backspace@riseup.net_xxx, варианты 123, 136, 138, 149, 167, 223, 226-227, 229, 233, 236, 238, 244, 247-248, 250, 254, 261, 429, 436-437, 441, 447, 455, 463-464, 467-469, 526, 530-531, 533-534, 537-539, 541, 544, 548, 820, 822, 828, 834, 838, 842, 845, 857, 861, 865, 867, 869-870
SOS@AUSI.COM_FGxxx, варианты FG80, FG82, FG84, FG110, FG112, FG116, FG119-120, FG122, FG137, FG148-149, FG153, FG157-158, FG178-179, FG197-198
numlock@riseup.net_xxx, варианты 120, 128, 135, 138, 140, 143, 149, 152, 158, 162, 166, 169
numlock@2riseup.net_125OLIMP
numlock@2riseup.net_125
numlock@2riseup.net_127
numlock@2riseup.net_128OLIMP
numlock@2riseup.net_129
numlock@2riseup.net_130OLIMP
numlock@2riseup.net_132
numlock@2riseup.net_136OLIMP
numlock@2riseup.net_138
numlock@2riseup.net_147 (спасибо пользователю форума!)
numlock@2riseup.net_155
numlock@2riseup.net_167
HELP@AUSI.COM_XExxx, варианты 80-83, 86, 88, 94, 96, 103, 110, 112, 123, 130-133, 135-138, 140
HELP@AUSI.COM_DExxx, варианты DE80-83, DE85-DE91, DE94
evromaidan2014@aol.com_paxxx, варианты pa1-10 pa14-20, pa22-24, pa26-27
oduvansh@aol.com_xxx, варианты 319, 321-324, 326
Support@casinomtgox.com*, Support@casinomtgox.com_2000, lot2000-lot2001, lot2003, lot2010-12, lot2020, lot3011, lot3015, lot4012, lot4024, lot4026, lot5000, lot5002, lot5004, lot5010, lot5018-19, lot5022, lot5030
iizomer@aol.com_xxx, варианты AAA, BBB, CCC, joy, west, dog, god, mad, mist, for, wat, rat, bat, word, moon, guf, yek, spb, just, flea, dome, frog
kolobocheg@aol.com_kxxx, варианты k1, k3
anna_stepanova@aol.com_xxx, варианты red, opt, wim, black, face, self, mode, bmn
byaki_buki@aol.com_nxxx, варианты n1-n5
two@AUSI.COM, ONE@AUSI.COM, Support@casinomtgox.com - около 98% случаев.
moshiax@aol.com_* варианты pidor и pidor1
*.contact@casinomtgox.com - почти все случаи.
Криптография: RSA на длине ключа не меньше 600 бит, дополнительное шифрование XOR большим блоком данных.
Что необходимо сделать:
- озаботиться информационной безопасностью ваших машин.
- обратиться с заявлением о совершенном преступлении в правоохранительные органы.
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 зашифрованный doc-файл. Дожидаться ответа на Вашу почту сотрудника Dr.Web и далее следовать его указаниям.
Что НЕ нужно делать:
- переименовывать зашифрованные файлы.
- использовать самостоятельно без консультации с сотрудниками Dr. Web любые программы для расшифровки/восстановления данных.
- Чистить или лечить машину чем либо: удалять/переименовывать какие-либо файлы, чистить почту, временные файлы и т.д.
Сообщение было изменено v.martyanov: 10 Ноябрь 2014 - 12:31