30 ответов в этой теме

[DmitriySC]

Добрый день. Поймали шифровалку.

Зашифрованы файлы Office, pdf, dbf и некоторые другие типы.

Очень прошу помощи.

К файлу дописано:

id-***foxmail@inbox.com

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[DmitriySC]

Запрос 

Сообщение было изменено SergM: 18 Декабрь 2014 - 20:58
Номера запросов ТП публиковать нельзя

[DmitriySC]

УПС, пардон..

А как правильно будет? Что-то торможу..

Действие *******

так?

Сообщение было изменено DmitriySC: 18 Декабрь 2014 - 21:04

[VVS]

Правильно - ждать ответ ТП.

[v.martyanov]

Ваистену ждать! Работы ведутся, но это все процесс небыстрый.

[webchekist]

 

Добрый день. Поймали шифровалку.

Зашифрованы файлы Office, pdf, dbf и некоторые другие типы.

Очень прошу помощи.

К файлу дописано:

id-***foxmail@inbox.com

 

DmitriySC, подскажи, а как поймали шифровальщика? Просто та же ситуация, на одном предприятии славили такого, причем не понятно с какого рабочего места, т.к. прошёлся только по шарам в хаотичном порядке, на локальных дисках всех пользователей все файлы живые, проверка curitom только на одном пк нашла файл типа akt_priema....exe идентифицировала как Trojan. installMonster. 47. 

[DmitriySC]

Ваистену ждать! Работы ведутся, но это все процесс небыстрый.

Я понимаю, что не быстро. Просто в ответ вообще тишина, вот и интересуюсь - все ли в порядке

[webchekist]

Я то же запрос делал, ответили быстро, сказали в работе. Так что то же ждем. Как все таки поймали, расскажи. Само тело вируса обнаружили? Файл с посланием был?

[GudVVinS]

Такая же проблема, вчера пол дня с этим гадом провозился, пострадали только сетевые папки, как я понял вирусу для шифрования требуются права администратора или пользователя, поскольку у всех на машинах стоят пароли, а сетевые папки расшарены на "Все", то выходит, что так, так же как я понял вирус не копируется в другие системы, а напрямую с инфицированного компа шифрует по очереди все, до чего может добраться.
Касперский эндпоинт не реагирует никак на него, сам файл еще не нашел, поиск свелся к 2м машинам из 52

[DmitriySC]

Ничего не сканировал, ничего не удалял. Как рекомендовано.

[webchekist]

Такая же проблема, вчера пол дня с этим гадом провозился, пострадали только сетевые папки, как я понял вирусу для шифрования требуются права администратора или пользователя, поскольку у всех на машинах стоят пароли, а сетевые папки расшарены на "Все", то выходит, что так, так же как я понял вирус не копируется в другие системы, а напрямую с инфицированного компа шифрует по очереди все, до чего может добраться.
Касперский эндпоинт не реагирует никак на него, сам файл еще не нашел, поиск свелся к 2м машинам из 52

Вот вот, аналогично. Тот же каспер и то же тишина. Случилось это 16.12.2014, у всех файлов одна дата изменения и время в периоде с 13:00 до 15:00. Причем шифровал в хаотичном порядке, в некоторых шарах зашифровал все, а в некоторых только часть. В этот день только один ПК повел себя странно, завис напрочь, ни на что не реагировал только ребут помог, как раз где то после трех, видимо это вирус и остановило и именно на этом ПК нашелся файл, загруженный из почты с именем  akt_priema_vipolnenih_rabot.exe, cureit идентифицировал его как Trojan. installMonster. 47, конкретно описание 47 не нашел, а вообще вроде не из той серии. Больше пока активность вируса не проявляется. Вот и как его вычислить!!! Писал я этим добрым товарищам на ящик foxmail@inbox, ответили что дишифровка стоит 0,5 биткоин!!!

[Xassad]

у кого была проблемы с foxmail@inbox.com могу подарить в честь НГ дешифратор. 

[v.martyanov]

У всех разные ключи, ваш "дешифратор" вряд ли подойдет кому-то еще.

[Xassad]

У всех разные ключи, ваш "дешифратор" вряд ли подойдет кому-то еще.

уже проверенно?

[v.martyanov]

Ну ВЫ-то уже проверили что ваш расшифровщик сработает во всех случаях, раз его предлагаете, да? :-D

[Xassad]

Ну ВЫ-то уже проверили что ваш расшифровщик сработает во всех случаях, раз его предлагаете, да? :-D

да , вот и хочу проверить мб у кого тоже подойдет .

[v.martyanov]

Ну ищите чужие файлы, а не предлагайте всем их запороть.

[Xassad]

Ну ищите чужие файлы, а не предлагайте всем их запороть.

Нет бы помогать людям а не критиковать других !

пусть скинут на mazan-www@mail.ru проверю если подойдет скину обратным емайлом прогу .

Ну ищите чужие файлы, а не предлагайте всем их запороть.

я понимаю что это бизнес , но надо уважать др людей  и оправдывать покупаемые лицензии.

[VVS]

 

Ну ищите чужие файлы, а не предлагайте всем их запороть.

Нет бы помогать людям а не критиковать других !

v.martyanov, реально помогает людям.

А из предложенного Вами может получиться только 2 варианта:

1. Файлы не будут расшифрованы, но и не будут повреждены.

2. Файлы будут угроблены так, что их расшифровка станет в принципе невозможной.