66 ответов в этой теме

[v.martyanov]

Тема создана для сбора информации и выдачи рекомендаций по двум конкретным вариантам трояна.
Три отличительных признака: имена файлов не изменились, присутствует файл с именем КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt. В нем в качестве контактной информации указан email gdf@gdfsgd.com или decrypfiles@yahoo.com
Если ХОТЬ ОДИН признак отличается - создавайте новую тему, ваши сообщения в этой теме будут удаляться!
Посмотрим как покажет себя такой формат ;-)

Сообщение было изменено v.martyanov: 09 Апрель 2013 - 10:18

[v.martyanov]

По состоянию на 15:30 (MSK) 11.04.2013 состояние следующее:

Расшифровка возможна. Все варианты с gdf@gdfsgd.com можно расшифровать, часть вариантов с decrypfiles@yahoo.com тоже расшифровываем. Из-за кривизны лап авторов троян может запускаться дважды. Расшифровка возможна и в таком случае даже без текстового файла (2/3 случаев успешны).
Троян - модификация Trojan.Encoder.205, поэтому так и будет называться.

 

Рекомендации:

1. Прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ зашифрованный doc/xls-файл и текстовый файл КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt в категорию Запрос на лечение. ОБЯЗАТЕЛЬНО нужно указать точную дату когда файлы зашифровались! Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. Если ответа нет больше 1 рабочего дня - на форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

2. Обратиться в полицию с заявлением о совершении преступления.

 

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web любые дешифраторы.

Сообщение было изменено v.martyanov: 11 Апрель 2013 - 14:33

[Иван Петров]

В систему Залез  троянец, Trojan.encoder ,  зашифровал файлы doc, xls, jpg и т.д.

Далее все стандартно, файлы открываются в не читаемом виде. 

Антивирус на  входе , Cureid ом сканировали  ничего не нашел (странно).

Подскажите, помогите,  как решить проблему.

Прилагаю файлы логов.

Жду помощи.

Файлы прилагаю.

С ув..

Прикрепленные файлы:

•  КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt   3,85К   13 Скачано раз
•  hijackthis.log   8,7К   1 Скачано раз
•  PRIOMTEH_priomtehdir_050413_103949.zip   1,43Мб   1 Скачано раз
•  DrWebSysInfo.log   44К   1 Скачано раз
•  cureit.log   1,5Мб   1 Скачано раз

[v.martyanov]

В систему Залез  троянец, Trojan.encoder ,  зашифровал файлы doc, xls, jpg и т.д.

Далее все стандартно, файлы открываются в не читаемом виде. 

Антивирус на  входе , Cureid ом сканировали  ничего не нашел (странно).

Подскажите, помогите,  как решить проблему.

Прилагаю файлы логов.

Жду помощи.

Файлы прилагаю.

С ув..

Все написано в теме. Читайте первые два сообщения там все написано.

[leo_nardo]

Вот текст и ключ моего файла,думаю поможет вам

 

Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.

Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.

Восстановить файлы можно только зная уникальный для вашего пк пароль и дешифратор.

Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода.

Не в коем случае не изменяйте файлы, иначе разблокировать их даже нам будет не под силу.

 

Напишите нам письмо на адрес gdf@gdfsgd.com чтобы узнать как получить дешифратор и пароль.

 

Среднее время ответа специалиста 2-10 часов.

 

К письму прикрепите файл "КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt, который находится в папке C:\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt".

Не изменяйте это файл, иначе расшифровать ваши файлы мы не сможем!

 

Если Вы хотите убедится в том, что мы действительно можем расшифровавать ваши файл в сообщение также можете прикрепить документ с известным вам содержанием и мы его расшифруем.

 

Письма с угрозами будут угрожать только Вам и Вашим файлам!

НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!

 

 

 

============================================================================================

ж}gЇ«>Мт›!Sg…R‰ћ:'С¬б/Тџ1ж™ЭУ/Ўс‡ЪхХ5ў

tЦЭЦE¤bУ»ШKҐщь&OПЈЩ[§жф1=юМЃЫaЁЭлF*яИiЬqЄКгQцЕGЮw«БЪfчБ/Я‡­®Тqуоѕ

бЌ®ҐЙ†апєхвќ°’Б‘Ож·УдЈ±‰ё¦»зі»еііv°±©Ю°™з№ґm§Ж–Я¬ЃиЙ¶ZџС„Ц©_кП·Q–жqЧҐGлЯ°>№сЊН[Kџж`л10µ~ѓЕFЧ”њНдхІ#§gщЕ"M)ѓФЃЕ)){Ђ–…©5чжЌ”“зґ•1BсЅйO?gВўџ!"A‚­‡Ќ$А†ЊYк!¶нѓQйµ°QUK°Гy„Д‰q7љ„н7ёТqqшб­wSk"/ћдSН†Ы‹UWtx|ерMє·_‘УЩҐ>UЃ%Њ-

“€тЌ9сwNqt«уcјњM±®СќW—(чz&YЉ Џа—(jlqцyѕЃ;С‰Й•МY­+ЫhGбщяЊ ‘П·cd7щЏАf)сdБЌ“[Г.їVh»сшеЋ7“еѕЧЬ\\эьҐВK?№…Z]Щ1ЈD‰•йс«ђN•Й­ч¶UTГя»Е&2±~_р*‡3 oваq“[—®’‘DLЉшСЗуRл©vЮa-k!БIЪЩ7•r™’Ѓ7k=DPызЙрбrЖЎnҐc0Oв#ТТэ—‰›vpWE6<юэЛХП’Ў™fle233ээКЛГ™ ќZ_w/4ЬНєЅІ|‘^3gH6л$ЧВД‰›·џ>N—щ(,ў)Пџ«ТW‰Vъi^9ыЩE±єЅOќОЎ"=·У!$h?С„™т2ЃNБkt<ЯЗf‹І¶џеЈ,Ч­.

UУi‡

yF€mЉ?Гµ‡eЄЇЫЎьҐкч‡ф

kХNu2иq>Oo B§ЈЁ?ўЁЎЈ§О

aєЃЧ3cRГi6q¶E‹‘ЙљЎgҐ*©Іщ7;Ђ—ЪQs”a/УsН>oЂау“ђ-Ё7«—ЮWфьG­Ьу?“oY'љuгASnН‹‰уЄN­{Нwрнф

ГЮШ-іJQawщD7\"§ѓ‚№¬eЇ_ј—КжмУЩаЅУ%I(yGJCЃ{{®|±C«·¤Яд™пвў у{W[XX[W]aY

=================================================================================

[VVS]

leo_nardo, желательно прочитать первых 2 сообщения и выполнить то, что там написано.

[leo_nardo]

[drweb.com #3990807].

[v.martyanov]

Правильно, зачем категорию указывать?!

А можно мои те два поста наверх перетянуть?

[anastasi]

Вчера мой компьютер атаковал этот же вирус.

 

Я удалила файлы вирусов.Почистила все. Значки вирусов пропали в файлов Майкрософт офиса и в jpg- файлов. Также написала по адресу gdf@gdfsgd.com. Но мне никто не ответил. Но пришло письмо

 

The mail system

<gdf@www.richsoft.net>: connect to www.richsoft.net[202.104.149.223]: No route to host.

 

Пробовала восстановить файлы специальной утилитой рековери. Не помогло

[mrbelyash]

Ну т.е. все сделали не правильно

[VVS]

anastasi, прочитайте сообщение #2 и выполните из него хотя бы что-то, что ещё можно выполнить.

[anastasi]

04.04.2013 в 11.45 вирус зашифровал файлы.

 

Все файлы приобрели вид значка "7"

Я удалила файлы вируса, в том числе upd.exe, который находился в папке С:/Microsoft Word

После этого значек "7" пропал с файлов. Но файлы все также были зашифрованы.

 

Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.
Восстановить файлы можно только зная уникальный для вашего пк пароль и дешифратор.
Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода.
Не в коем случае не изменяйте файлы, иначе разблокировать их даже нам будет не под силу.

Напишите нам письмо на адрес gdf@gdfsgd.com чтобы узнать как получить дешифратор и пароль.

Среднее время ответа специалиста 2-10 часов.

К письму прикрепите файл "КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt, который находится в папке C:\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt".
Не изменяйте это файл, иначе расшифровать ваши файлы мы не сможем!

Если Вы хотите убедится в том, что мы действительно можем расшифровавать ваши файл в сообщение также можете прикрепить документ с известным вам содержанием и мы его расшифруем.

Письма с угрозами будут угрожать только Вам и Вашим файлам!
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!



============================================================================================
ж}gЫур›!SgiЖ[Iћ:'С¬уq+џ1ж™пЃ6'/Ўс‡б’735ў
tЭўB>E¤bПіCJKҐщь&OЛГNU[§жф1=ЅФOaaЁЭлF*№дZlqЄКгQ«х[xw«БЪf§fѓ‡­®Тqу™gЏЌ®ҐЙ†а•&rљќ°’Б‘О‡7s¦Ј±‰ё¦»ѓG~±ііv°±©uXЅ№ґm§Ж–qhЉИЙ¶ZџС„cy‹ФП·Q–жq_‰–ЯЯ°>№сЊ…БЖEџж`л±05ЂѓЕFЧЁiмхІ#§gsбУ[)ѓФЃЕџQA––…©5чж{W[XX[XYZW
============================================================================================  Предп.doc   695К   0 Скачано раз  hijackthis.log   11,66К   0 Скачано раз  07-04-2013_01-30-02.zip   1,92Мб   0 Скачано раз  КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt   3,2К   2 Скачано раз  dwscanner(368).log   731,54К   1 Скачано раз  ANASTASI_anastasiya_070413_000951.zip   1,19Мб   0 Скачано раз

[leo_nardo]

Ну как успехи с антивирусом?

[v.martyanov]

Все написано.

[Мазурчак]

Здравствуйте

 

Помогите дешефрировать файлы. Надсылаю один файл пример (Регистрационная анкета участника.doc)

Еще вкладаю лог файли и карантин за 04.04.2013 когда были обноружены вируси (TrojanMulDrop1.44907; trojanMulDrop2.64582; Exploit.CVE2012-0158.16ю Надеюсь на Вашу помощь. Заранее очень благодарен

 

Прикрепленные файлы:

•  cureit.log   5,99Мб   0 Скачано раз
•  hijackthis.log   13,4К   0 Скачано раз
•  HYUNDAI-OFFICE_pavlov_050413_115051.zip   1,22Мб   0 Скачано раз
•  Регистрационная анкета участника.doc   30,5К   0 Скачано раз
•  КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt   3,26К   1 Скачано раз

Сообщение было изменено VVS: 08 Апрель 2013 - 12:10
Убрал вирусы.

[VVS]

Мазурчак, вирусы на форум выкладывать запрещено.

Модератор.

[Мазурчак]

Guru. Я випадково. Надалі буду уважніше. Душе потрібна Ваша допомога

[SergM]

Мазурчак, 

1. Вы владеете русским языком, пожалуйста, используйте его на форуме.

2. Прочитайте первые два сообщения этой  темы и выполните все приведенные там рекомендации, иначе помощь будет получить проблематично.

[leo_nardo]

[drweb.com #3990807].

[Blade_Den88]

Тема создана для сбора информации и выдачи рекомендаций по одному конкретному варианту трояна.
Три отличительных признака: имена файлов не изменились, присутствует файл с именем КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt. В нем в качестве контактной информации указан email gdf@gdfsgd.com
Если ХОТЬ ОДИН признак отличается - создавайте новую тему, ваши сообщения в этой теме будут удаляться!
Посмотрим как покажет себя такой формат ;-)

Добрый день!05.04.2013 тоже схватил вирус какой описан у вас здесь. Обратился в службу поддержки, все необходимые файлы отправил Запрос XXXX-XXXX

Теперь вот жду результата. Скажите если я правильно понимаю то сейчас создают утилиту Trojan Encoder.211 ??? Если так, то когда её можно ожидать. Заранее благодарю!

Сообщение было изменено VVS: 08 Апрель 2013 - 14:34
Убран номер тикета