213 ответов в этой теме

[v.martyanov]

Признаки заражения: Файлы зашифрованы, дополнительное расширение *.zero@dbzmail.com_xxx, *.mambaee@aol.com_xxx, *.SOS@AUSI.com_AUxxx, *.SOS@TASMANIAN.COM_TAxxx где xxx - цифры-бувы. Если расширение отличается - вам в другую тему.

 

Информация по трояну: Trojan.Encoder.278.

 

Криптография: Модифицированный (неясно зачем!) Виженер. Полученные данные шифруются RSA. Итог накрывается модифицированным Виженером снова. Еще имеется косяк на файлах меньше 1 Кб...

 

Расшифровка: Возможно частичное восстановление doc, jpg и dbf-файлов. Проблемы будут с файлами меньше 1 Кб: в хвосте будет мусор :-(

Имеется полноценная расшифровка для следующих вариантов:

SOS@AUSI.com_AU1

SOS@AUSI.com_AU6

zero@dbzmail.com_IQ84

zero@dbzmail.com_IQ92

zero@dbzmail.com_IQ94 (пофикшено, точно расшифровываем!)

mambaee@aol.com_IQxxx, варианты IQ2, IQ5, IQ8, IQ11

SOS@TASMANIAN.COM_TA5

 

Что необходимо сделать:

- озаботиться информационной безопасностью ваших машин.

- обратиться с заявлением о совершенном преступлении в правоохранительные органы.

- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 зашифрованный doc-файл. Дожидаться ответа на Вашу почту сотрудника Dr.Web и далее следовать его указаниям.

 

Что НЕ нужно делать:
- менять расширение у зашифрованных файлов;
- использовать самостоятельно без консультации с сотрудниками Dr. Web любые программы для расшифровки/восстановления данных.

- Чистить или лечить машину чем либо: удалять/переименовывать какие-либо файлы, чистить почту, временные файлы и т.д.

Сообщение было изменено v.martyanov: 18 Июль 2014 - 16:18
*.SOS@AUSI.com_xxx

[M.Molotov]

1

Сообщение было изменено M.Molotov: 07 Август 2013 - 19:33

[v.martyanov]

Ваша аргументация из серии "Раз чикатило убивал, значит и мне можно". Также у вас есть логика "Дом горит, подолью-ка я и чутка бензина, хуже не станет". И да, покажите хоть что-то новое в ВАШЕЙ информации, чего нет на форуме.

[Vodka666]

У меня такая же проблема все файлы заразились с расширением *.zero@dbzmail.com_IQ81 помогите мне плиз

[v.martyanov]

У меня такая же проблема все файлы заразились с расширением *.zero@dbzmail.com_IQ81 помогите мне плиз

 

Первый пост читайте, там все написано.

[mrFiX]

v.martyanov

Уже есть информация - лечение таких файлов возможно ?

[v.martyanov]

v.martyanov

Уже есть информация - лечение таких файлов возможно ?

 

Что написано в первом посте?

[mrFiX]

Понятно. Для наблюдающих следить за обновлением шапки.

 

Просто хотел узнать - прислали уже тело вируса на анализ или еще не было таких и были ли уже случаи успешного излечения.

[v.martyanov]

Да, троян есть. Нужно время на анализ.

[Musek]

Я тоже схватила этот вирус, жду анализа, если нужно есть письмо это вредоносное

[maxic]

Musek, в техподдержку.

[Musek]

Musek, в техподдержку.

написала

[mrFiX]

на форуме Касперского появилось сообщение про этот вирус

http://forum.kaspersky.com/index.php?showtopic=270612

 

Вывод достаточно печальный:

Вывод: без оригинального дешифратора расшифровать невозможно (все сложности из-за этапа 2, поскольку ключи шифрования и дешифровки разные).

[v.martyanov]

С 252-м была аналогичная ситуация, но наша тулза за 20 часов подобрала ключ. Я бы воздержался от комментариев, пока лично не посмотрю что там и как.

[Natalia_M]

Я бы воздержался от комментариев,

Значит есть надежда  . будем держать кулачки за умные головы.
 

[mrFiX]

Я бы воздержался от комментариев, пока лично не посмотрю что там и как.

Надеюсь что у Вас получится и удастся этих вымогателей "обламаать".

Кстати  - можно просьбу ? В утилитах по дешифрации можно  ли добавить возможность указания путей для обработки. А то на жестком диске не хватает столько места что бы все файлы сразу создать копии (если есть конечно же такая возможность. хоть параметром командной строки при запуске. выбирать или диск или диск:\каталог)

[v.martyanov]

Ну... В общем ситуация такая: при наличии пары файлов (зашифрованный-незашифрованный), а может и даже без нее, будет, я надеюсь, частичное восстановление doc- и jpg-файлов. Полноценной расшифровки НЕ БУДЕТ без получения нами приватной части ключа.

Сообщение было изменено v.martyanov: 13 Август 2013 - 17:02

[mrFiX]

Ну... В общем ситуация такая: при наличии пары файлов (зашифрованный-незашифрованный), а может и даже без нее, будет, я надеюсь, частичное восстановление doc- и jpg-файлов.

С doc частичное понятно - хоть какую-то часть текста восстановить . А с jpg - это как ? описательная часть потреряется или часть изображения ?

[Musek]

Мне бы только jpg:)

[v.martyanov]

Потери будут суммарно около 80 байт максимум. Если не попадет на критичную часть - даже незаметно будет на JPG.