Перейти к содержимому


Фото
- - - - -

Зашифрованы файлы, ant@lelantos.org


  • Please log in to reply
84 ответов в этой теме

#1 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 31 Июль 2014 - 15:15

Признаки заражения: файлы помещены в RAR-архив с паролем, контакты злоумышленников - ant@lelantos.org, второе мыло - ant@sigaint.org. Рядом с зашифрованными файлами лежат файлы "!Фaйлы зaшифpовaны.txT" и !!password* с каким-то "мусором".

Второй вариант - тоже RAR-архивы, контакты hawker@mail2tor.com

 

Информация по трояну: Trojan.Encoder.556, очередная модификация. Распространение началось 31.07.2014, версия hawker@mail2tor.com начала распространяться 25-26.09.2014

 

Криптография: RAR

 

Расшифровка: Возможна при некоторых условиях, например при наличии файлов с паролями. От оперативности обращения в вирлаб и чтения этого руководства успех зависит самым серьезным образом.

 

Что необходимо сделать:

- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 зашифрованный doc-файл. Дожидаться ответа на Вашу почту сотрудника Dr.Web и далее следовать его указаниям.

- озаботиться информационной безопасностью ваших машин.

- обратиться с заявлением о совершенном преступлении в правоохранительные органы.

 

Что НЕ нужно делать:

- Перезагружать или выключать машину. Любыми методами нужно предотвращать перезапуск системы до получения инструкций из вирлаба!
- использовать самостоятельно без консультации с сотрудниками Dr. Web любые программы для расшифровки/восстановления данных.

- Чистить или лечить машину чем либо: удалять/переименовывать какие-либо файлы, чистить почту, временные файлы и т.д.


Сообщение было изменено v.martyanov: 26 Сентябрь 2014 - 11:56
ant@sigaint.org

Личный сайт по Энкодерам - http://vmartyanov.ru/


#2 Muncubus

Muncubus

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 31 Июль 2014 - 17:25

Скажите, тут будут новости по поводу данной модификации? Уже поймали. Продукцией Дрвеб не пользуемся, посему не можем предоставить по ссылке зашифрованный файл. Машины, с которых пошло заражение изолировали. Буду ждать инструкций тут.


Сообщение было изменено Muncubus: 31 Июль 2014 - 17:25


#3 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 31 Июль 2014 - 17:28

Продукцией Дрвеб не пользуемся, посему не можем предоставить по ссылке зашифрованный файл.

 

Значит расшифровкой Ваших файлов заниматься не будут.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#4 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 31 Июль 2014 - 17:36

Скажите, тут будут новости по поводу данной модификации? Уже поймали. Продукцией Дрвеб не пользуемся, посему не можем предоставить по ссылке зашифрованный файл. Машины, с которых пошло заражение изолировали. Буду ждать инструкций тут.

Про расшифровку все написано.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#5 Muncubus

Muncubus

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 31 Июль 2014 - 17:37

 

Продукцией Дрвеб не пользуемся, посему не можем предоставить по ссылке зашифрованный файл.

 

Значит расшифровкой Ваших файлов заниматься не будут.

 

Стоит ли ждать платной или бесплатной утилиты по расшифровке?



#6 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 31 Июль 2014 - 17:41

ЕЩЕ РАЗ: ВСЕ НАПИСАНО. При каких условиях расшифровка возможна, а при каких нет.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#7 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 31 Июль 2014 - 17:42

Утилита для расшифровки бесплатна для лицензионных пользователей DrWeb.

Не пользователям DrWeb утилита не предоставляется, консультации по расшифровке не оказываются.


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#8 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 31 Июль 2014 - 17:43

Утилита для расшифровки бесплатна для лицензионных пользователей DrWeb.

Не пользователям DrWeb утилита не предоставляется, консультации по расшифровке не оказываются.

Не надо этого товарища вводить в заблуждение. Утилиты под эти случаи нет. Ее не будет. Условия расшифровки указаны.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#9 Muncubus

Muncubus

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 31 Июль 2014 - 17:54

 

Утилита для расшифровки бесплатна для лицензионных пользователей DrWeb.

Не пользователям DrWeb утилита не предоставляется, консультации по расшифровке не оказываются.

Не надо этого товарища вводить в заблуждение. Утилиты под эти случаи нет. Ее не будет. Условия расшифровки указаны.

 

Спасибо. Все понятно.



#10 InClUdE

InClUdE

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 01 Август 2014 - 00:31

Скажите, тут будут новости по поводу данной модификации? Уже поймали. Продукцией Дрвеб не пользуемся, посему не можем предоставить по ссылке зашифрованный файл. Машины, с которых пошло заражение изолировали. Буду ждать инструкций тут.

+1 .... вся шара в запароленном архиве.... найдешь какое нибудь решение - сообщи плиз



#11 InClUdE

InClUdE

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 01 Август 2014 - 00:35

Кстати.... сам троян идет в файле .CMD ... его тело еще осталось.... так что если интересно кому поковырять - могу скинуть



#12 mardy

mardy

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 01 Август 2014 - 09:24

запускается ли вирус после перезагрузки компьютера? продолжается ли шифрование?



#13 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 01 Август 2014 - 10:03

запускается ли вирус после перезагрузки компьютера? продолжается ли шифрование?

Нет.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#14 mardy

mardy

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 01 Август 2014 - 11:38

у меня есть файл thy, не подскажете, что делать дальше?



#15 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 01 Август 2014 - 11:39

у меня есть файл thy, не подскажете, что делать дальше?

Оформлять запрос на https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#16 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 01 Август 2014 - 11:40

у меня есть файл thy, не подскажете, что делать дальше?

У вас есть файл thy.ss, а не thy. Я более чем уверен.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#17 mardy

mardy

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 01 Август 2014 - 11:46

да, так и есть, thy.ss и symbol.thy

это не оно?



#18 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 01 Август 2014 - 11:49

да, так и есть, thy.ss и symbol.thy

это не оно?

 

"Дивизия" и "дивизия SS" - разные же вещи, хотя отличаются всего на 2 буквы.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#19 krashow

krashow

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 01 Август 2014 - 19:46

Сегодня попался нам этот чудо-зверь. Пришёл по почте (свой сервак на postfix, из антивирусной стоит clamav), с какой темой и содержанием - не в курсе. Был архив, в нём cmd файл. При запуске удалил письмо и очистил корзину в почтовом клиенте. В диспетчере задач светился как myar.exe. Работает в несколько потоков, ибо за 10 минут жизни успел сожрать данные на разных дисках. После того, как грохнули в диспетчере - не смогли этот файл найти нигде. Ни архивов, ни cmd/exe никаких не было. Ел исключительно doc, xls, pdf и jpg файлы. docx и xlsx не трогал. Подъел базу 1с - то, что не успел зашифровать просто сделал с 0 размером.



#20 thyrex

thyrex

    Member

  • Posters
  • 279 Сообщений:

Отправлено 01 Август 2014 - 19:51

Был архив, в нём cmd файл
Переименованный самораспаковывающийся rarsfx-архив

Распаковка идет в папку C:\tmp

 

myar.exe
Скорее  moar 

 

т
да нет, один единственный


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых