118 ответов в этой теме

[openhus]

Добрый день!
По почте пришло письмо. По наивности бухгалтер открыл и запустил аттач. В итоге все пользовательские файлы были зашифрованы. Во всех папках появился текстовый файл с требованием оплатить расшифровку.
Инфицированный комп отключил от сети и выключил. Забрал несколько файлов для образцов, скрин письма и аттач.
Все в архиве. Прошу помочь. Утилита Курит не определил наличие вируса во вложенном файле.

Сообщение было изменено userr: 18 Июнь 2012 - 13:43

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и RkU. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Что не нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума;

[openhus]

Номер тикета:
drweb.com #3453635

[userr]

openhus,
не постить вирусы на форум!

Номер тикета:
drweb.com #3453635

в какую категорию послали?

[openhus]

Ок! Учту в след раз! Спасибо.
Запрос на лечение.

[RomaNNN]

Уведомление о взыскание долга.exe

https://www.virustotal.com/file/092f97ac8530ebb43a7b818b49eebdf462f4da5f959476da01c4f49fcaba2cca/analysis/1340016270/

Отпрвил в вирлаб - [drweb.com #3453639] Создан: VH_Important

[openhus]

Определяется только на уровне эвристики?

[RomaNNN]

openhus, да, и то лишь 2-мя вендорами. Отправил уже его всем. Так что, я думаю, к вечеру у многих в базе он будет.

Сообщение было изменено RomaNNN: 18 Июнь 2012 - 14:06
добавил

[userr]

Так что, я думаю, к вечеру у многих в базе он будет.

Но это не означает, что файлы можно будет расшифровать, к сожалению.

openhus,
ждите ответа аналитика.

[openhus]

Ок. Выполняю инструкции аналитика.
Спасибо за содействие!

[openhus]

Нашел по дате проникновения еще хвост, связанный с ним
https://www.virustotal.com/file/092f97ac8530ebb43a7b818b49eebdf462f4da5f959476da01c4f49fcaba2cca/analysis/1340021500/
Расположение Windows\system32\protect.exe, тут же файл саттелит protect весом 6 байт (содержит текст "..шифр").

[userr]

Нашел по дате проникновения еще хвост, связанный с ним
https://www.virustotal.com/file/092f97ac8530ebb43a7b818b49eebdf462f4da5f959476da01c4f49fcaba2cca/analysis/1340021500/

это не еще, а ровно тот же самый файл.

[openhus]

Смотрел через autoruns - если что-то даст описание- приведу скрин.

Прогнал систему свежим Cureit - все чисто...

Прикрепленные файлы:

•  auto.JPG   167,64К   24 Скачано раз

[userr]

openhus,
уберите его из автозапуска, но не удаляйте совсем, сохраните копию.

[openhus]

Хорошо. Аналитик без трояна не может раскодировать. Попробую прослушать порты, может попытается в сеть постучаться...

[userr]

Хорошо. Аналитик без трояна не может раскодировать.

А вы "Уведомление о взыскание долга.exe" приложили к запросу?

[openhus]

Да, все что было на форуме, скинул туда.
Запустил ПК в нормальном режиме, убрал виры с автозагрузки, копии файлов заархивировал.

[RomaNNN]

Уведомление о взыскание долга.exe

Угроза: BackDoor.Poison.686

[Borka]

Уведомление о взыскание долга.exe
Угроза: BackDoor.Poison.686

Ну почему!? Почему, если это криптор!?

[openhus]

Есть продвижение )
А с расшифровкой не получается?