Перейти к содержимому


Фото
- - - - -

Шифровальщик файлов - письмо от банка

шифровальщик спам

  • Закрыто Тема закрыта
118 ответов в этой теме

#1 openhus

openhus

    Newbie

  • Posters
  • 23 Сообщений:

Отправлено 18 Июнь 2012 - 13:38

Добрый день!
По почте пришло письмо. По наивности бухгалтер открыл и запустил аттач. В итоге все пользовательские файлы были зашифрованы. Во всех папках появился текстовый файл с требованием оплатить расшифровку.
Инфицированный комп отключил от сети и выключил. Забрал несколько файлов для образцов, скрин письма и аттач.
Все в архиве. Прошу помочь. Утилита Курит не определил наличие вируса во вложенном файле.

Сообщение было изменено userr: 18 Июнь 2012 - 13:43


#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 2 704 Сообщений:

Отправлено 18 Июнь 2012 - 13:38

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и RkU. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Что не нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума;

#3 openhus

openhus

    Newbie

  • Posters
  • 23 Сообщений:

Отправлено 18 Июнь 2012 - 13:43

Номер тикета:
drweb.com #3453635

#4 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 18 Июнь 2012 - 13:44

openhus,
не постить вирусы на форум!

Номер тикета:
drweb.com #3453635

в какую категорию послали?

#5 openhus

openhus

    Newbie

  • Posters
  • 23 Сообщений:

Отправлено 18 Июнь 2012 - 13:47

Ок! Учту в след раз! Спасибо.
Запрос на лечение.

#6 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 779 Сообщений:

Отправлено 18 Июнь 2012 - 13:47

Уведомление о взыскание долга.exe

https://www.virustotal.com/file/092f97ac8530ebb43a7b818b49eebdf462f4da5f959476da01c4f49fcaba2cca/analysis/1340016270/

Отпрвил в вирлаб - [drweb.com #3453639] Создан: VH_Important
Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#7 openhus

openhus

    Newbie

  • Posters
  • 23 Сообщений:

Отправлено 18 Июнь 2012 - 14:03

Определяется только на уровне эвристики?

#8 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 779 Сообщений:

Отправлено 18 Июнь 2012 - 14:05

openhus, да, и то лишь 2-мя вендорами. Отправил уже его всем. Так что, я думаю, к вечеру у многих в базе он будет.

Сообщение было изменено RomaNNN: 18 Июнь 2012 - 14:06
добавил

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#9 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 18 Июнь 2012 - 14:10

Так что, я думаю, к вечеру у многих в базе он будет.

Но это не означает, что файлы можно будет расшифровать, к сожалению.

openhus,
ждите ответа аналитика.

#10 openhus

openhus

    Newbie

  • Posters
  • 23 Сообщений:

Отправлено 18 Июнь 2012 - 14:13

Ок. Выполняю инструкции аналитика.
Спасибо за содействие!

#11 openhus

openhus

    Newbie

  • Posters
  • 23 Сообщений:

Отправлено 18 Июнь 2012 - 15:16

Нашел по дате проникновения еще хвост, связанный с ним
https://www.virustotal.com/file/092f97ac8530ebb43a7b818b49eebdf462f4da5f959476da01c4f49fcaba2cca/analysis/1340021500/
Расположение Windows\system32\protect.exe, тут же файл саттелит protect весом 6 байт (содержит текст "..шифр").

#12 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 18 Июнь 2012 - 15:22

Нашел по дате проникновения еще хвост, связанный с ним
https://www.virustotal.com/file/092f97ac8530ebb43a7b818b49eebdf462f4da5f959476da01c4f49fcaba2cca/analysis/1340021500/

это не еще, а ровно тот же самый файл.

#13 openhus

openhus

    Newbie

  • Posters
  • 23 Сообщений:

Отправлено 18 Июнь 2012 - 15:29

Смотрел через autoruns - если что-то даст описание- приведу скрин.

Прогнал систему свежим Cureit - все чисто...

Прикрепленные файлы:

  • Прикрепленный файл  auto.JPG   167,64К   24 Скачано раз


#14 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 18 Июнь 2012 - 15:40

openhus,
уберите его из автозапуска, но не удаляйте совсем, сохраните копию.

#15 openhus

openhus

    Newbie

  • Posters
  • 23 Сообщений:

Отправлено 18 Июнь 2012 - 15:45

Хорошо. Аналитик без трояна не может раскодировать. Попробую прослушать порты, может попытается в сеть постучаться...

#16 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 18 Июнь 2012 - 15:49

Хорошо. Аналитик без трояна не может раскодировать.

А вы "Уведомление о взыскание долга.exe" приложили к запросу?

#17 openhus

openhus

    Newbie

  • Posters
  • 23 Сообщений:

Отправлено 18 Июнь 2012 - 15:58

Да, все что было на форуме, скинул туда.
Запустил ПК в нормальном режиме, убрал виры с автозагрузки, копии файлов заархивировал.

#18 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 779 Сообщений:

Отправлено 18 Июнь 2012 - 16:26

Уведомление о взыскание долга.exe

Угроза: BackDoor.Poison.686
Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#19 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 18 Июнь 2012 - 16:29

Уведомление о взыскание долга.exe
Угроза: BackDoor.Poison.686

Ну почему!? Почему, если это криптор!? :(
С уважением,
Борис А. Чертенко aka Borka.

#20 openhus

openhus

    Newbie

  • Posters
  • 23 Сообщений:

Отправлено 18 Июнь 2012 - 16:35

Есть продвижение )
А с расшифровкой не получается?


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых