Перейти к содержимому


Фото
- - - - -

Зашифрованы файлы в *.cbf


  • Please log in to reply
106 ответов в этой теме

#41 VVS

VVS

    The Master

  • Moderators
  • 17 438 Сообщений:

Отправлено 10 Июль 2014 - 15:02

Ну сколько раз можно писать - на форуме помощь по этому вопросу Вы не получите.
Помогают (если это в принципе возможно) только в ТП.

ві хоть скажите да или нет или ві только вирус написали ? есть декодер в природе ?

Ответ на этот вопрос Вы можете получить только в ТП.

--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#42 VVS

VVS

    The Master

  • Moderators
  • 17 438 Сообщений:

Отправлено 17 Июль 2014 - 12:21

mamud1980, Ваше сообщение к этой теме не имеет никакого отношения, поэтому оно удалено.

Создайте новую тему в соответствующем разделе форума (с описанием проблемы и с отчётом DrWeb) или пишите в ТП - https://support.drweb.com/support_wizard/?lng=ru

Модератор.


Сообщение было изменено VVS: 17 Июль 2014 - 12:22

--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#43 Dog111

Dog111

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 28 Сентябрь 2014 - 15:05

Привет! С madeled@mail.ru договариваться не рекомендую, кидалы. У меня был такой же случай, зашифровали базы 1С. Запросили 1000$.договорились на 30 000 руб. Деньги перевели, через день они потребовали еще 1000$. Так что подумайте стоит ли платить этим гражданам.

#44 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 28 Сентябрь 2014 - 15:44

Да у них там в трояне не код, а старое слово на букву Г, так что неудивительно что что-то не работает :-)


Личный сайт по Энкодерам - http://vmartyanov.ru/


#45 deglor

deglor

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 07 Октябрь 2014 - 09:45

 У меня та же беда. Есть письмо с которого произошло заражение. Есть какие-нибудь результаты?



#46 VVS

VVS

    The Master

  • Moderators
  • 17 438 Сообщений:

Отправлено 07 Октябрь 2014 - 09:49

На этот вопрос ответить может только ТП.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#47 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 07 Октябрь 2014 - 10:31

 У меня та же беда. Есть письмо с которого произошло заражение. Есть какие-нибудь результаты?

Есть результаты. Около 5% шансы на полную расшифровку. Как и сказано ранее - в техподдержку и молиться Машыаху, чтобы вы попали в те самые 5%.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#48 _burb_on_

_burb_on_

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 13 Октябрь 2014 - 05:49

Тоже знакомые поймали такую же ересь.
Однако шифровальщик доработать не успел.
Ребутнули сервер и он не успел себя удалить.
За сим просим помощи:
Зашифрованные файлы: https://yadi.sk/d/gxFY_AF2bxTEx
Собственно сам виновник (может нужен для изучения):  <censored> Арихв с вирем под паролем. Пароль дам представителям DrWeb через обращение в ЛС.

Сообщение было изменено pig: 13 Октябрь 2014 - 07:46
Публикация вредоносов запрещена в любом виде


#49 pig

pig

    Бредогенератор

  • Helpers
  • 10 670 Сообщений:

Отправлено 13 Октябрь 2014 - 07:43

Читайте четвёртое сообщение темы. Там написано, куда обращаться и куда что представлять.
А вредоносные файлы здесь запрещено публиковать. Даже под паролем.

Сообщение было изменено pig: 13 Октябрь 2014 - 07:45

Почтовый сервер Eserv тоже работает с Dr.Web

#50 obtim

obtim

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 17 Октябрь 2014 - 08:50

Столкнулся с этой проблемой(слава богу не у себя). Решил зайти с другой стороны: в теории если автора вируса поймают, то есть шанс, что он должен будет расшифровать файлы.. Понимаю, что вероятность всего этого стремится к 0. Однако есть желание попытаться. В связи с этим вопрос: в какие компетентные органы обратиться с заявлением по этой ситуации?
П.С. Прошу не давать общих ответов: если знаете-пишите. Догадки не интересуют.



#51 VVS

VVS

    The Master

  • Moderators
  • 17 438 Сообщений:

Отправлено 17 Октябрь 2014 - 09:30

http://forum.drweb.com/index.php?showtopic=282975&page=1

--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#52 sanbegger

sanbegger

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 17 Октябрь 2014 - 11:55

Добрый день. Может кому поможет.

Совет по восстановлению 1С помог, получается что шифруется только заголовок файла. Это наталкнуло меня на мысль попробовать восстановить документы Word и Excel с помощью программ по "ремонту" файлов, и получилось вытащить часть данных.



#53 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 17 Октябрь 2014 - 12:04

Шифруются не только заголовки, просто у 1C размеры блоков очень большие и если троян попадет в неиспользуемую часть блока - не будет особых проблем.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#54 sanbegger

sanbegger

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 17 Октябрь 2014 - 13:07

Шифруются не только заголовки, просто у 1C размеры блоков очень большие и если троян попадет в неиспользуемую часть блока - не будет особых проблем.

я не говорю про полное восстановление, но если нет копии данных, то та часть что можно вытащить будет уже в радость

 

только-что восстанавливал документы


Сообщение было изменено sanbegger: 17 Октябрь 2014 - 13:08


#55 Yarri

Yarri

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 23 Октябрь 2014 - 12:44

Знакомый подцепил шифровщик. Антивируса к этому времени у него вообще не было (он сам себе злобный буратино). Трояны я ему почистил.

Все, что я смог у него найти на компе из лишнего - это некий файл tmp в папке winrar. Сама папка была уже пустая.

Это обычный текстовый файл.

В нем находится имя, которое добавляется к каждому зашифрованному файлу и длинное число под 90 знаков.

 

Во вложении сам этот файл и для примера - типовой зашифрованный текстовый файл (изначально *.txt) от от НалогоплательщикЮЛ.

 

Подскажите, есть вероятность это расшифровать с таким набором файлов?

 

 

Пока что поставил ему пробную версию DrWeb 9 на три месяца, но если есть шанс расшифровать это дело (декрипторы от Касперского не сработал ни один), то заставлю его купить полную версию, тем более что по акции это ему обойдется на 40% дешевле, если не ошибаюсь.



#56 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 23 Октябрь 2014 - 12:45

Есть шансы. Касперы не будут работать в этом направлении, они публично признались что это не расшифровать :-D


Личный сайт по Энкодерам - http://vmartyanov.ru/


#57 Yarri

Yarri

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 23 Октябрь 2014 - 13:03

Тогда прошу своего товарища купить лицензию. Он ее на ЮЛ оформляет.



#58 Tatyanka

Tatyanka

    Newbie

  • Posters
  • 64 Сообщений:

Отправлено 23 Октябрь 2014 - 15:50

Товарищу своему посоветуйте читать мануалы от красных. Всё упирается в админа, если умеет читать и настраивать сервер управления - проблем намного меньше возникает в данном вопросе.

Я - всегда за зеленых! Если что)



#59 VascoJo2

VascoJo2

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 31 Октябрь 2014 - 09:12

Ребят этот вирус кодирует блочно каждый файл, в том числе есть бэкап он походу лежит в корне но не всегда какойто файл называется типа mailsetup ... както так...

блочно кодирует заголовку и в теле файла через промежуточный бросок адреса, первый блок обычно 16Х16 байтов.

В конце файла добавляет свой код.
Дешифровка файла либо сохраняется в спецальном файле либо согласно версии вируса либо в конце файла добавляют как вернуть в исходное.

написал этот вирус скорее всего бывший програмист работающий в фирме майл разрабатываемый агент майл, это мое личное предположение.


запустить бэкап не уверен что может получиться потому что надо знать как.



#60 VascoJo2

VascoJo2

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 31 Октябрь 2014 - 11:33

ну вот нашел зараженный файл и не зараженный, можно делать эврестический анализ куда залить?




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых