437 ответов в этой теме

[v.martyanov]

Признаки заражения: Файлы зашифрованы, дополнительное расширение - *.oshit. Имеются текстовые файлы Razblokirovka_failov.txt с требованиями. Контактные email'ы могут быть разными. Если имя текстовика или расширение отличается - вам в другую тему!

 

Информация по трояну: Trojan.Encoder.351. Появился 21.11.2013, методы распространения НЕ ИЗВЕСТНЫ. Имеющие по ним какую-либо информацию - пишите.

 

Криптография: Однозначно AES-CTR128 и SHA1, вероятно HMAC и еще черта лысого :-(

 

Расшифровка: В некоторых случаях можем расшифровать уже сейчас. Расшифровка с перебором будет занимать очень много времени: порядка 2 месяцев на 4-ядерной машине.

 

Что необходимо сделать:

- озаботиться информационной безопасностью ваших машин.

- обратиться с заявлением о совершенном преступлении в правоохранительные органы.

- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 зашифрованный doc-файл. Дожидаться ответа на Вашу почту сотрудника Dr.Web и далее следовать его указаниям.

 

Что НЕ нужно делать:

- переименовывать зашифрованные файлы.
- использовать самостоятельно без консультации с сотрудниками Dr. Web любые программы для расшифровки/восстановления данных.

- чистить или лечить машину чем либо: удалять/переименовывать какие-либо файлы, чистить почту, временные файлы и т.д.

Сообщение было изменено v.martyanov: 25 Ноябрь 2013 - 14:46

[vmulyun]

Добрый день!

 

Не являюсь Вашим клиентом, поэтому хочу уточнить кое-что и высказать догадку. 

 

Насчет механизма распространения - есть подозрение что это VKsaver (audiovkontakte.ru) 

 

Жена установила, я заметил да поздно. У меня в свое время через него банковский вирус пролез, ели откачали тогда. Сейчас смотрю снова - есть VK, есть вирус. 

 

Вопрос: можно ли Вам прислать зашифрованный файл и то что похоже на файл вируса (или как там он называется правильно), если сможете расшифровать куплю лицензию. 

 

Если так нельзя, всё равно как можно прислать, хоть польза будет. 

[mrbelyash]

Добрый день!

 

Не являюсь Вашим клиентом, поэтому хочу уточнить кое-что и высказать догадку. 

 

Насчет механизма распространения - есть подозрение что это VKsaver (audiovkontakte.ru) 

 

Жена установила, я заметил да поздно. У меня в свое время через него банковский вирус пролез, ели откачали тогда. Сейчас смотрю снова - есть VK, есть вирус. 

 

Вопрос: можно ли Вам прислать зашифрованный файл и то что похоже на файл вируса (или как там он называется правильно), если сможете расшифровать куплю лицензию. 

 

Если так нельзя, всё равно как можно прислать, хоть польза будет. 

 

https://vms.drweb.com/sendvirus/?lng=ru

 

подозрение на вирус.

в коментариях написать что и как.

увы запрос на лечение без лицензии будет не доступен

[vmulyun]

Отправил файл вируса. Спасибо.

[mrbelyash]

Отправил файл вируса. Спасибо.

киньте вличку файлик...на посмотреть

[mrbelyash]

вличка у вас появится только после еще одного поста (3 поста и вы не спамер  )

напишите сюда еще какую-то бяку(можно левую).

Сообщение было изменено mrbelyash: 23 Ноябрь 2013 - 00:11

[vmulyun]

Бяка

[mrbelyash]

Бяка

бинго

[hard^_^]

Вирус зашифровал файлы с расширением OSHIT, выяснил что окошко это открывает процесс w3AXi.exe, удалил его за ним вылезло ещё одно (другое, виндовс заблокирован), вообщем востоновил систему, файлы .OSHIT остались, как вернуть мою информацию? Помогите пожалуйста

Сообщение было изменено hard^_^: 23 Ноябрь 2013 - 18:17

[VVS]

hard^_^, прочитайте 1-е сообщение в этой теме.

[hard^_^]

hard^_^, прочитайте 1-е сообщение в этой теме.

.doc файла нету, у меня только аудио и фото 

[hard^_^]

Ваш идентификатор: 7501
Email для связи: buupee352@tom.com


Ваш ID: 7501


Информация для Вас!
Все файлы с расширениями (*.txt *.xls *.docx *.doc *.cer *.key *.rtf *.xlsx *.text *.ppt *.pdf *.cdx *.cdr  *.js *.css *.asm *.jpg *.dbf *.mdb *.sql *.pgp)
 и многие другие зашифрованы надежным алгоритмом. Восстановить файлы можно только при помощи уникального ключа, который известен только нам. 




Не буду вас отговаривать от обращений к различным "специалистам".Но предупрежу что они вам ничем не помогут, а за то что не помогут еще и денег возьмут.
Если зашифрованные файлы для вас не важны - просто переустновите систему и забудте о этом инциденте.
Если же ваши файлы для вас важны свяжитесь с нами по email: buupee352@tom.com и мы сообщим вам как вернуть их. В теме письма укажите ваш ID.

Вот нашёл файл Rablakirovka_failov (Текстовый документ), вылезало окошко вот с этим содержанием

[mrbelyash]

Почему вы не хотите обратится в тех. поддержку?

[hard^_^]

Почему вы не хотите обратится в тех. поддержку?

Кто вам сказал что не хочу? Можно скинуть любой зашифрованый файл?

[mrbelyash]

 

Почему вы не хотите обратится в тех. поддержку?

Кто вам сказал что не хочу? Можно скинуть любой зашифрованый файл?

 

Ну Вы собственно пишете на заборе свою проблему.

Тетя Маша, уборщица проходя мимо плюнет на ваши перлы  немедленно создаст запрос в тех.поддержку, где специалисты давясь дошираком немедля приступят к расшифровке.

 

https://support.drweb.com/support_wizard/?lng=ru

Сообщение было изменено mrbelyash: 23 Ноябрь 2013 - 20:23

[lionmad]

Не знаю, поможет или нет, но на зараженной машине oshit присутствует странный файл avcup.exe размером 94 кб. К сожалению, я не имею постоянного доступа к той машине. Но в понедельник постараюсь скопировать этот файл. Если пострадавший не предпримет ни  никаких действий, ему была выдана инструкция, с этого форума чего не надо делать, но кто его знает, что он натворит.

 

Процесс заражения со слов пострадавшего, выглядел, так: С утра он серфил интернет(допрашивал я его что именно он делал, он искал книги в свободном доступе ну думаю и на технических форумах, письма, божится, что не открывал) , потом он обратил внимание, что wordовские файлы, изменили расширение на *.oshit. Он обратился за помощью к нашему адимну. Админ(бюджетная организация) ничего не сделал пожал плечами и сказал, что он не разбирается в вирусах и это не его задача и ушел. А процесс шифрования продолжился до своего логического завершения.

 

Когда он пришел ко мне за помощью я уже ничем не мог помочь ему кроме рассказа что DrWeb9 умеет защищать от подобных угроз . Теперь вопрос: можно ли использовать флешки при таком заражении, чтобы забрать файлы с машины? Не умеют ли суслики такого рода прыгать на флешки? Не хотелось бы потерять свои файлы. Хотя на моих машинах и стоит DrWevb9 и я использую хранилище. + стоит полностью лицензии и винды и офиса. Собрать мне логи с той машины? Если он конечно не успел ничего налечить...

 

А теперь что я попробовал, на зараженной машине. В ворде создал текстовый файл, но сохранить его на жеский диск не вышло. Ругается на отказ в доступе. И все.

 

На машине ноутбук была установлена сборка ZverCD win XP не имеет 3 SP. В качестве защиты использовался Avira бесплатная версия.

[Arndt]

По путям заражения. Было замечено следующее. Есть пара сайтов  www.mcrf.ru и www.uo5oq.com.  Если регулярно обновлять стартовую страницу то иногда запускается java плагин и скачивает данный шифровальщик с сайта *****.pp.ua, где ***** - комбинация букв, попадались zokal, popal и другие. Если в этот момент антивирус не перехватывает запуск шифровальщика, то он запускается и начинает шифровать.

Пробовал запускать на чистой виртуалке с java 1.7u9 и 1.7u45 без антивируса, в первом случае через некоторое время получил зашифрованные файлы, в случае крайней версии Java плагин не запускался (тестировал в течении 4 часов). Есть предположение что используется какая-то уязвимость в старых версиях Java.

Проверка вышеуказанных сайтов на онлайн антивирусных сайтах никаких проблем не выявляет.

Сообщение было изменено Arndt: 25 Ноябрь 2013 - 11:51

[v.martyanov]

Хм... Спасибо за информацию! Качается именно через Java или все-таки браузером?

[Arndt]

через Java плагин.

Вообще как увидел данное поведение, у меня в настройках включена Java консоль, и при любом запуске Java консоль появляется и видно что происходит.

Мне не совсем понятен механизм запуска Java плагина, вроде как на самих сайтов ничего такого нет и запускается данный плагин время от времени.

[v.martyanov]

Да... Поймать будет сложновато, но пока ничего более похожего на реальное положение дел я не имею. Значит, заражений будут тысячи.