56 ответов в этой теме

[Shashlychnik]

«сделайте быструю проверку курейтом и лог сюда».

Вот лог, но по всей видимости там ничего интересного нет...

Прикрепленные файлы:

•  __CureIt_fast.7z   564,27К   5 Скачано раз

Сообщение было изменено Shashlychnik: 12 Декабрь 2012 - 16:38

[l.e.e.]

[Проверяемый путь] d:\documents and settings\vedeneeva.n\главное меню\программы\автозагрузка\desktop.ini
d:\documents and settings\vedeneeva.n\главное меню\программы\автозагрузка\desktop.ini - OK
из 11 Мб. только одно место от юзера vedeneeva.n с вирусом.. Надо проверить временные папки и точки восстановления CureIt.

Сообщение было изменено lazarev.ee: 12 Декабрь 2012 - 19:17

[Shashlychnik]

[Проверяемый путь] d:\documents and settings\vedeneeva.n\главное меню\программы\автозагрузка\desktop.ini
d:\documents and settings\vedeneeva.n\главное меню\программы\автозагрузка\desktop.ini - OK
из 11 Мб. только одно место от юзера vedeneeva.n с вирусом.. Надо проверить временные папки и точки восстановления CureIt.

Добрый день, прошу указать пути к папкам для проверки.

[l.e.e.]

http://www.freedrweb.com/cureit  launch.7z   475байт   5 Скачано раз - распакуйте launch.7z , поместите в эту папку Куреит, переименовать Куреит в launch.exe и запустить launch.cmd будут проверены необходимые пути.

[Shashlychnik]

http://www.freedrweb.com/cureit  launch.7z   475байт   5 Скачано раз - распакуйте launch.7z , поместите в эту папку Куреит, переименовать Куреит в launch.exe и запустить launch.cmd будут проверены необходимые пути.

Добрый день. Лог во вложении.

Прикрепленные файлы:

•  launch_log.rar   16,36К   1 Скачано раз

[Shashlychnik]

Все таки еще остается открытым вопрос о расшифровке пострадавших файлов и поиске ключа шифрования.

[v.martyanov]

Все таки еще остается открытым вопрос о расшифровке пострадавших файлов и поиске ключа шифрования.

Ключ шифрования? От вас трояна я не получал, остается только гадать. Основываясь на аналогичных случаях предполагаю N и E - ключ шифрования. Только он для расшифровки не подходит. Если вы обладаете парой суперкомпьютеров - могу N на факторизацию дать, тогда и расшифровка будет.

[Shashlychnik]

Все таки еще остается открытым вопрос о расшифровке пострадавших файлов и поиске ключа шифрования.

Ключ шифрования? От вас трояна я не получал, остается только гадать. Основываясь на аналогичных случаях предполагаю N и E - ключ шифрования. Только он для расшифровки не подходит. Если вы обладаете парой суперкомпьютеров - могу N на факторизацию дать, тогда и расшифровка будет.

Тогда откуда у господ из вэба, каспера и других АBЛ дешифраторы к разнообразным модификациям подобных вирусов, и как почитаешь по форумам, у людей они все восстанавливают!

Сообщение было изменено Shashlychnik: 21 Декабрь 2012 - 14:56

[v.martyanov]

То что я сказал никак не вступает в противоречие с тем, что файлы можно расшифровать.

[userr]

Shashlychnik,
почитайте форумы повнимательнее и увидите, что
- далеко не у всех восстанавливают, увы
- часто критически важно наличие самого шифровщика.

Ищите, переверните вверх дном все пострадавшие компы, хоть из под земли, но достаньте файл вируса.

[v.martyanov]

Shashlychnik,
почитайте форумы повнимательнее и увидите, что
- далеко не у всех восстанавливают, увы
- часто критически важно наличие самого шифровщика.

Ищите, переверните вверх дном все пострадавшие компы, хоть из под земли, но достаньте файл вируса.

Ну это разве что поможет точно понять как шифровали :-)

[Shashlychnik]

Shashlychnik,
почитайте форумы повнимательнее и увидите, что
- далеко не у всех восстанавливают, увы
- часто критически важно наличие самого шифровщика.

Ищите, переверните вверх дном все пострадавшие компы, хоть из под земли, но достаньте файл вируса.

по всей видимости заражен был всего лишь 1 комп, и как я уже говорил, юзверь оказался партизаном, и имеет правило удалять все неизвестные ему письма мимо корзины, а тело вируса на компе штатный антивирус видимо затер.

Сообщение было изменено Shashlychnik: 21 Декабрь 2012 - 15:12

[userr]

а тело вируса на компе штатный антивирус видимо затер.

что значит "видимо" ? смотрите логи, смотрите карантин.

[mrbelyash]

Ну это разве что поможет точно понять как шифровали :-)

Володь, технология уже проработана до нас.

Мы тебя на цепь к батарее в подвал... на хлеб и воду. Через месяц RSA будешь раскалывать в пять минут

P.S.
А западные АВ вообще не занимаются дешифровкой? В сети не проскальзует информация(или там рулит приватная платная обработка тикетов?)?
Или там вообще слабые аналитики?

[v.martyanov]

Я вчера и без батареи чуть не расколол, но потом понял где лажанул :-(

Я не в курсе. По 94-му как-то в апреле сработали F-Secure. Со 102-м, вроде, что-то как-то выпустили ESET. Остаются 2 игрока, фактически.

[mrbelyash]

Я вчера и без батареи чуть не расколол, но потом понял где лажанул :-(

Я не в курсе. По 94-му как-то в апреле сработали F-Secure. Со 102-м, вроде, что-то как-то выпустили ESET. Остаются 2 игрока, фактически.

Веб и каспер?

[Shashlychnik]

а тело вируса на компе штатный антивирус видимо затер.

что значит "видимо" ? смотрите логи, смотрите карантин.

Если бы знал что и где смотреть, в форум бы не писал. Логи выложены, подскажите есть ли в логах что-нибудь