118 ответов в этой теме

[openhus]

Попробую запустить на виртуалке - -может наведет на след декриптора...

[v.martyanov]

Уведомление о взыскание долга.exe
Угроза: BackDoor.Poison.686

Ну почему!? Почему, если это криптор!?

А вы проверяли, он файлы шифрует?

[Borka]

Уведомление о взыскание долга.exe
Угроза: BackDoor.Poison.686

Ну почему!? Почему, если это криптор!?

А вы проверяли, он файлы шифрует?

Не проверял. Судя по

По почте пришло письмо. По наивности бухгалтер открыл и запустил аттач. В итоге все пользовательские файлы были зашифрованы

Заслан же именно этот файл?

[openhus]

Он самый...

[openhus]

Запустил на виртуальной XP SP3. Ничего не шифрует, но активно прописывает себя в автозагрузку. Сохранил лог активности (в 3-х форматах) в момент запуска приложения. через Process monitor из комплекта SysinternalsSuite. Кому интересно - прикрепил.

Прикрепленные файлы:

•  experiment.7z   406,1К   2 Скачано раз

[Borka]

Ничего не понял... Кто ж тогда все файлы пошифровал?

[userr]

openhus,
сделайте на больной машине лог cureit по Правилам, но ничего не лечить и не удалять из того, что он найдет.

[openhus]

оставлю на некорторое время подключенным к сети.

[RomaNNN]

Уведомление о взыскание долга.exe
Угроза: BackDoor.Poison.686

Ну почему!? Почему, если это криптор!?

Видимо не он. NOD32 - Win32/Poison.AJQS trojan

[HHH]

оставлю на некорторое время подключенным к сети.

Скорее всего там есть детектор виртуалки или еще что-нибудь более экзотическое (проверка на наличие 1С), так что сомнительно, что выловите что-нибудь.

Если есть возможность, то лучше на реальной машине тестить.

[openhus]

HHH,

ВЫ правы, на виртуалке ничего не получается - запуск вири ничего не дает, хотя прописывает себя в автозагрузку. Но на свякий случай проверил CureIt. Отключил DEP на машине - тоже безрезультатно.
Но, при первом запуске CureIt, через 5 мин система пошла на перезагрузку... Обычно загружается без экрана приветствия, но на этот раз рапросила имя пользователя. После ввода имени снова попал на станицу приветсвия. Просмотрел реестр-удалены ключи userinit.exe и shell. После редактирования вход стал нормальный.
Попробую на больной машине.

Прикрепленные файлы:

•  CureIt.zip   302,29К   1 Скачано раз

[HHH]

Попробую на больной машине.

Образ с неё сделайте перед экспериментами.

[openhus]

При запуске шифрованного файла открывается картинка. Она внутри файла, который прикреплен. Он выступает как ассоциатор этого типа шифровок.
Сам файл не несет вирусной угрозы.

Прикрепленные файлы:

•  Y4G8UycE38QyxUG.zip   158,86К   4 Скачано раз

[openhus]

Мне кажется (наивно предполагаю), что декриптор находится у вирусописателя и он, по логике, отправит его после получения денег....

Сообщение было изменено openhus: 19 Июнь 2012 - 14:14

[SergM]

Мне кажется (наивно предполагаю), что декриптор находится у вирусописателя и он, по логике, отправит его после получения денег....

Ну тут вроде и не кажется... Хотя за честность поручиться нельзя.

[openhus]

Еще неприятная новость - он шифрует dbf файлы 1С 7.7. (благо, есть резервыне копии).
1С 8.2 не тронул.
ННН, как в воду глядел...

Сообщение было изменено openhus: 19 Июнь 2012 - 14:38

[openhus]

"ДЕНЬГИ ПРИШЛИ - ПРИШЛЁМ ДЕШИФРАТОР" - строка - ультиматум из картинки...

[mrbelyash]

Уведомление о взыскание долга.exe
Угроза: BackDoor.Poison.686

Ну почему!? Почему, если это криптор!?

[HHH]

Заслан же именно этот файл?

Массово ставят backdoor и через него заливают шифровальщик.
Причем, судя по названию файла, охота идет именно на бухгалтерские компы. В расчете на то, что оганизации (админу) дешевле заплатить, чем восстанавливать данные (терять работу).

[Borka]

Беляш, а ты чего хихичешь-то?

Сообщение было изменено Borka: 20 Июнь 2012 - 15:04