66 ответов в этой теме

[v.martyanov]

Признаки трояна: имеется дополнительное расширение (обычно - *.Enciphered, но может быть и любое другое), контактный email - xakep@bk.ru. Опциональный (и очень хороший!) признак - при попытке открыть зашифрованный файл двойным щелчком появляется окно для ввода кода. Или картинка появляется. Если хоть один признак не совпадает - вам в другую тему!

 

По состоянию на 17:40 (MSK) 19.06.2013 состояние следующее: это 94-й энкодер. По статистике расшифровка возможна в ~90% случаев, но не факт что вы попадете именно в эти 90%. Основные причины невозможности расшифровки - неумение читать, думать, делать что просят. Ну и самодеятельность (см. ниже).

 

 Рекомендации:

1. Обратиться в полицию с заявлением о совершении преступления.
2. Озаботиться информационной безопасностью ваших машин.

3. Обратиться через форму https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 к специалистам Dr.Web

 

 

Что НЕ нужно делать:

- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web ЛЮБЫЕ программы для расшифровки/восстановления данных. Обращаю ДОПОЛНИТЕЛЬНОЕ ВНИМАНИЕ: после таких попыток файлы, возможно, нельзя будет восстановить. И я с этими случаями возиться не буду. Или же после этих попыток будут проблемы с поиском расшифрованных файлов. Утилита для расшифровки предназначена для работы на нетронутой(!!!) системе и разбираться как ее после самодеятельности привести в такое состояние я тоже не буду.

- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;

Сообщение было изменено v.martyanov: 19 Июнь 2013 - 16:42

[v.martyanov]

И отдельно: если кто-то будет сюда выкладывать инструкции, советы, ссылки на софт для "расшифровки" или на указания по расшифровке - получите бан. Вариантов энкодера под перечисленные признаки - штук 10. А утилита может запороть файлы 346ю (как минимум!) разными (!!!) способами. Надеюсь, это понятно?

[mrbelyash]

при попытке открыть зашифрованный файл двойным щелчком появляется окно для ввода кода. Или картинка появляется. Если хоть один признак не совпадает

Может не быть не того и не другого,а в каждом каталоге файл с инструкцией

[vlada]

vlada, Вам нужно внимательно прочитать 1-е сообщение в этой теме.

Прочитала, запрос на лечение отправила, Прикрепила файлы, но дело в том что ноут в другом городе тоже  "лечат" а как и кто я не знаю.

Для меня важно сохранить дропбоксовые файлы. Ведь если их изменят оттуда - у меня они тоже изменятся.

Правда я уже успела просканировать систему утилитой и вычистить кэш браузеров.

 

По вашему мнению вирус В МОЙ КОМП пробрался или  нет?

[pig]

По моемку мнению, зверь к вам не заходил. Скидывайте всё из дропбокса к себе локально - это единственный вариант не зависеть от лечения ноутбука.

[mrbelyash]

3fb09.exe -бэкдор в вирлаб, а потом все по правилам

(включите отображение скрытых файлов и папок)

 

http://mrbelyash.blogspot.com/2012/02/total-commander.html

Сообщение было изменено mrbelyash: 16 Июнь 2013 - 14:45

[Alex72]

Категория запроса - запрос на лечение.

Номер запроса не присваивали вроде.

Пришел ответ с идентификатором drweb.com #4173615 и drweb.com #4173634

 

А что дальше делать?

[userr]

А что дальше делать?

ждать ответа на почту и надеяться. больной комп не трогать.

Сообщение было изменено userr: 16 Июнь 2013 - 16:00

[Samuro]

 [drweb.com #4173844]

[v.martyanov]

 [drweb.com #4173844]

А вот у меня вопрос: вы читали что написано? Вам был дан ответ по тикету в течении 2 (двух!!!) минут, а вы сюда номер публикуете. Неужели не видно что написано про 1 рабочий день?

[Samuro]

v.martyanov

Спасибо, лечение уже идет. 

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

 

Следовал инструкциям

[v.martyanov]

v.martyanov

Спасибо, лечение уже идет. 

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

 

Следовал инструкциям

 

В этой теме написано про 1 рабочий день.

[alexsamsam]

Меня посетил этот бадабум(xakep@bk.ru  Enciphered)

В пятницу вечером.

Стоял антивирь А...

Отправил закодированный DOC.

Сегодня пришло лекарство от Vladimir Martyanov

Очень оперативно.

Не ждал ответа раньше понедельника.

Спасибо.

Начал раскодировать(много файлов -мало места на винтах).

Кто будет наезжать на Владимира или на drWEB, приеду, надеру уши.

Владимир С П А С И Б О !!!!

[SumraKSity]

Доброго времени суток, А вот если я не являюсь владельцем Dr.web, но был атакован данной проблемой EnCiPhErEd на компе ОЧЕНЬ ВАЖНЫЕ документы... терять крайне нельзя.... помогите.

[MaxKvadrat]

Я тоже небыл обладателем DR.Web. Но как произошло это зло, приобрел лицензию прямо через интернет и рад этому.

[SergM]

SumraKSity, Вам помогут, сделайте только всё правильно, по инструкциям. Будет и быстрее и проще, не потратите время на лишнюю переписку.

[ser_alex]

У меня такая ситуация, есть файлы которые не открываются, т.е. просмотр не доступен, меняю у этих файлов расширение на .EnCiPhErEd, после прохожу дешифратором и файл открывается нормально, файлы лежат в премешку с нормальными, дак вот вопрос в том как я могу определить какие файлы зараженные, а какие нет? проставляет ли шифратор какой нибудь признак по которому можно определить зараженный файл(расширение нормально, как это произошло не понятно, возможно из-за того что на файлообменнике кончилось место)

[HHH]

Прочитать первый пост темы, в которую пишете, и перестать заниматься самодеятельностью.

 

Или продолжать эксперименты самостоятельно.

Сообщение было изменено HHH: 17 Июнь 2013 - 13:17

[BiMouSe]

Добрый день. Сотрудник поймал "шифратор"... и много чего было <потеряно>.

Собственно во вложении отчеты, который необходимо (судя по правилам, который нашел)

Если необходимо - могу выложить в формате eml письмо-заражатель ! 

Люди, кто-нибудь может помочь в дэ-шифрации файлов ? - очень надо !

 

PS Прикрепил еще один из зашифрованных файлов - может это как-то поможет или ускорит процесс   akkordy_Staroe_-_Dobroe.doc.7z   174,31К   4 Скачано раз (просто упакован в 7z)

Прикрепленные файлы:

•  hijackthis.log   10,57К   1 Скачано раз
•  ipconfig.log   579байт   0 Скачано раз
•  litescan.log   1,19Мб   0 Скачано раз
•  userscan.log   4,64Мб   0 Скачано раз
•  x-info.log   123,1К   0 Скачано раз

Сообщение было изменено BiMouSe: 18 Июнь 2013 - 12:10

[v.martyanov]

Добрый день. Сотрудник поймал "шифратор"... и много чего было <потеряно>.

Собственно во вложении отчеты, который необходимо (судя по правилам, который нашел)

Если необходимо - могу выложить в формате eml письмо-заражатель ! 

Люди, кто-нибудь может помочь в дэ-шифрации файлов ? - очень надо !

"Помоги себе сам", как говорится. Все что надо сделать написано в этой теме.