Перейти к содержимому


Фото
* * * * * 3 Голосов

Зашифрованы файлы, *.SAD@FIREMAN.NET_AM*, *.HELP@AUSI.COM_XQ*, *.sos@ausi.com_ZQ* и другие


  • Please log in to reply
1043 ответов в этой теме

#1 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 06 Сентябрь 2013 - 12:26

Признаки заражения: Файлы зашифрованы, известны следующие варианты (xxx - цифры):
Дополнительное расширение *.HELP@AUSI.COM_XQxxx, *.HELP@AUSI.COM_XOxxx, контактный email - HELP@AUSI.COM
Дополнительное расширение *.sos@ausi.com_ZQxxx, контактный email - sos@ausi.com
Дополнительное расширение *.SAD@FIREMAN.NET_AMxxx, контактный email - SAD@FIREMAN.NET
Дополнительное расширение *.COMODO@EXECS.COM_hexxxx, контактный email - COMODO@EXECS.COM
Дополнительное расширение *.SOS@AUSI.COM_IDxxx, контактный email - SOS@AUSI.COM
Дополнительное расширение *.ZANZIBAR@umpire.com_ZAxxx, контактный email - ZANZIBAR@umpire.com
Дополнительное расширение *.REDBULL@PRIEST.COM_RBxxx или *.REDBULL@PRIEST.COM_RExxx контактный email - REDBULL@PRIEST.COM
Дополнительное расширение *.Heinz@oaht.com_hxxx, контактный email - Heinz@oath.com
Дополнительное расширение *.NUMBAZA@SEZNAM.CZ_Qxxx, контактный email - NUMBAZA@SEZNAM.CZ

Дополнительное расширение *.backspace@riseup.net_xxx, контактный email - backspace@riseup.net.

Дополнительное расширение *.SOS@AUSI.COM_FGxxx

Дополнительное расширение *.numlock@riseup.net_*, контактный email - numlock@riseup.net

Дополнительное расширение *.starpex@riseup.net_*, контактный email - starpex@riseup.net

Дополнительное расширение *.HELP@AUSI.COM_XE, контактный email - HELP@AUSI.COM

Дополнительное расширение *.numlock@2riseup.net_*

Дополнительное расширение *.HELP@AUSI.COM_DE*

Дополнительное расширение *.oduvansh@aol.com_*, контактный email - oduvansh@aol.com

Дополнительное расширение *.evromaidan2014@aol.com_*, контактный email evromaidan2014@aol.com (не путать со случаями БЕЗ расширения!)

Дополнительное расширение *.byaki_buki@aol.com_*

Дополнительное расширение *.iizomer@aol.com_*

Дополнительное расширение *.Support@casinomtgox.com*, обычно *.Support@casinomtgox.com_lot*

Дополнительное расширение *.kolobocheg@aol.com_*

Дополнительное расширение *.anna_stepanova@aol.com_*

Дополнительное расширение *.two@AUSI.COM, *.ONE@AUSI.COM

Дополнительное расширение *.moshiax@aol.com_*

Дополнительное расширение *.contact@casinomtgox.com

Если ваш вариант отличается от приведенных ваше - вам в другую тему.
 
Информация по трояну: Trojan.Encoder.293 - видоизмененный Trojan.Encoder.102, который сильнее портит файлы.
 
Расшифровка: Полноценной расшировки нет и она невозможна без приватной части ключа, которая есть только у авторов утилиты и в расшифровщиках их авторства. Соответственно, нам эти расшифровщики нужны. В техподдержке имеется утилита для приемлемого восстановления JPG, DOC и DBF-файлов. Восстановление других типов файлов - по запросу в техподдержку. Кроме того, SOS@AUSI.COM_ID, ZANZIBAR@umpire.com_ZA и REDBULL@PRIEST.COM_RB восстанавливаются ХУЖЕ всех предыдущих.  *COMODO@EXECS.COM_hex поддерживаются, судя по всему, до hex300, а может и больше.
 
Имеется полноценная расшифровка для следующих вариантов:

uas@nonpartisan.com_IQxxx, варианты IQ233, IQ262, IQ289, IQ299

starpex@riseup.net_500

sos@ausi.com_ZQxxx, варианты ZQ500-501, ZQ503-504, ZQ508, ZQ510, ZQ512-513

Heinz@oaht.com_hxxx, варианты h10-11, h28, h35, h51

HELP@AUSI.COM_XQ100-112, XQ116-117, XQ119, XQ121-124, XQ126-128
SAD@FIREMAN.NET_AMxxx, варианты AM103, AM106, AM110, AM126
SOS@AUSI.COM_IDxxx, варианты ID81, ID85, ID87, ID91-92, ID96, ID98, ID100, ID103-1110, ID112, ID114

COMODO@EXECS.COM_hexxxx варианты hex15, hex30, hex37, hex43, hex50, hex151, hex161, hex301, hex321

ZANZIBAR@umpire.com_ZAxxx, варианты ZA149, ZA151, ZA701, ZA705, ZA707
REDBULL@PRIEST.COM_RBxxx, варианты RB303, RB315, RB325, RB331, RB335-336, RB348
REDBULL@PRIEST.COM_RExxx, варианты RE303, RE309, RE312, RE316, RE319, RE325, RE328, RE335, RE806, RE813
HELP@AUSI.COM_XO100-102

HELP@AUSI.COM_XO104-105

HELP@AUSI.COM_XO109 (спасибо пользователю форума!)
HELP@AUSI.COM_XO111

HELP@AUSI.COM_XO113
HELP@AUSI.COM_XO121

HELP@AUSI.COM_XO128

HELP@AUSI.COM_XO143

NUMBAZA@SEZNAM.CZ_Q507

NUMBAZA@SEZNAM.CZ_Q508

NUMBAZA@SEZNAM.CZ_Q514

NUMBAZA@SEZNAM.CZ_Q530

backspace@riseup.net_xxx, варианты 123, 136, 138, 149, 167, 223, 226-227, 229, 233, 236, 238, 244, 247-248, 250, 254, 261, 429, 436-437, 441, 447, 455, 463-464, 467-469, 526, 530-531, 533-534, 537-539, 541, 544, 548, 820, 822, 828, 834, 838, 842, 845, 857, 861, 865, 867, 869-870

SOS@AUSI.COM_FGxxx, варианты FG80, FG82, FG84, FG110, FG112, FG116, FG119-120, FG122, FG137, FG148-149, FG153, FG157-158, FG178-179, FG197-198
numlock@riseup.net_xxx, варианты 120, 128, 135, 138, 140, 143, 149, 152, 158, 162, 166, 169

numlock@2riseup.net_125OLIMP

numlock@2riseup.net_125

numlock@2riseup.net_127

numlock@2riseup.net_128OLIMP

numlock@2riseup.net_129

numlock@2riseup.net_130OLIMP

numlock@2riseup.net_132

numlock@2riseup.net_136OLIMP

numlock@2riseup.net_138

numlock@2riseup.net_147 (спасибо пользователю форума!)

numlock@2riseup.net_155

numlock@2riseup.net_167

HELP@AUSI.COM_XExxx, варианты 80-83, 86, 88, 94, 96, 103, 110, 112, 123, 130-133, 135-138, 140

HELP@AUSI.COM_DExxx, варианты DE80-83, DE85-DE91, DE94

evromaidan2014@aol.com_paxxx, варианты pa1-10 pa14-20, pa22-24, pa26-27

oduvansh@aol.com_xxx, варианты 319, 321-324, 326

Support@casinomtgox.com*, Support@casinomtgox.com_2000, lot2000-lot2001, lot2003, lot2010-12, lot2020, lot3011, lot3015, lot4012, lot4024, lot4026, lot5000, lot5002, lot5004, lot5010, lot5018-19, lot5022, lot5030

iizomer@aol.com_xxx, варианты AAA, BBB, CCC, joy, west, dog, god, mad, mist, for, wat, rat, bat, word, moon, guf, yek, spb, just, flea, dome, frog

kolobocheg@aol.com_kxxx, варианты k1, k3

anna_stepanova@aol.com_xxx, варианты red, opt, wim, black, face, self, mode, bmn

byaki_buki@aol.com_nxxx, варианты n1-n5

two@AUSI.COM, ONE@AUSI.COM, Support@casinomtgox.com - около 98% случаев.

moshiax@aol.com_* варианты pidor и pidor1

*.contact@casinomtgox.com - почти все случаи.
 
Криптография: RSA на длине ключа не меньше 600 бит, дополнительное шифрование XOR большим блоком данных.
 
Что необходимо сделать:
- озаботиться информационной безопасностью ваших машин.
- обратиться с заявлением о совершенном преступлении в правоохранительные органы.
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 зашифрованный doc-файл. Дожидаться ответа на Вашу почту сотрудника Dr.Web и далее следовать его указаниям.
 
Что НЕ нужно делать:
- переименовывать зашифрованные файлы.
- использовать самостоятельно без консультации с сотрудниками Dr. Web любые программы для расшифровки/восстановления данных.
- Чистить или лечить машину чем либо: удалять/переименовывать какие-либо файлы, чистить почту, временные файлы и т.д.


Сообщение было изменено v.martyanov: 10 Ноябрь 2014 - 12:31

Личный сайт по Энкодерам - http://vmartyanov.ru/


#2 lixoxil

lixoxil

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 06 Сентябрь 2013 - 12:40

В тех поддержке дали утилитку, но файлы после расшифровки так же не читаются. Расширение стало нормальным, но в нутри все равно иероглифы.

 

 

Я так понимаю но на help@ausi.com_XQ108 дешифровщик не совсем рабочий.



#3 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 06 Сентябрь 2013 - 12:46

 

В тех поддержке дали утилитку, но файлы после расшифровки так же не читаются. Расширение стало нормальным, но в нутри все равно иероглифы.

 

 

Я так понимаю но на help@ausi.com_XQ108 дешифровщик не совсем рабочий.

 

У нас его вообще нет, мы только частично восстанавливаем данные?


Личный сайт по Энкодерам - http://vmartyanov.ru/


#4 Владислав1976

Владислав1976

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 07 Сентябрь 2013 - 12:12

я заражен. файлы зашифраванны и в конце имени файла дабавлено "help@ausi.com_XQ123". под раздачу попали уникальнные базы 1с. выружился nex редактором. перебиваю данные ручками с близких конфигурации от 0x0 до 0x4000 (перебором). снимаю сверху лишние. файл должен кратен 4096.

какие области файла ещё портятся (шифруются)?



#5 Ольга Екатеринбург

Ольга Екатеринбург

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 07 Сентябрь 2013 - 17:36

Файлы зашифрованы HELP@AUSI.COM_XQ116. Базы 1С нет. Dr.Web оказывает помощь корпоративным клиентам. Но большинство пострадавших - малый бизнес. где стоит 2,3...5..10 компьютеров. Для них - один вариант- обогащать мошенников. По скромныи подсчетам они зарабатывают до 1млрд. за несколько дней. Почему не рассматривается вариант оказания платной поддержки для таких ваших клиентов? по крайней мере знаешь кому идут деньги. спасибо за образец в правоохранительные органы, напишу обязательно.



#6 pig

pig

    Бредогенератор

  • Helpers
  • 10 670 Сообщений:

Отправлено 07 Сентябрь 2013 - 18:11

Dr.Web оказывает помощь корпоративным клиентам.

Компания оказывает помощь всем лицензионным пользователям независимо от количества лицензий.
Почтовый сервер Eserv тоже работает с Dr.Web

#7 Ольга Екатеринбург

Ольга Екатеринбург

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 07 Сентябрь 2013 - 18:17

Спасибо за ответ, а мне сказали, что только корпоративным клиентам, у кого от 50 компьютеров. 



#8 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 07 Сентябрь 2013 - 18:19

Спасибо за ответ, а мне сказали, что только корпоративным клиентам, у кого от 50 компьютеров. 

 

Это где такое сказали?  :D


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#9 Ольга Екатеринбург

Ольга Екатеринбург

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 07 Сентябрь 2013 - 19:42

Т.е я так поняла, если я хоть как физическое лицо, хоть юридическое купила антивирусник, то компания оказывает поддержку по восстановлению зашифрованных файлов? хоть на 1 комп., хоть на 10? Извините за такие вопросы, но наш приходящий системный администратор уехал отдыхать (в вопросы безопасности до этого случая не вникали, т.к. каждый должен заниматься своим делом) , мы обратились у кого покупали антивирусник, они так объяснили. 



#10 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 07 Сентябрь 2013 - 19:45

Т.е я так поняла, если я хоть как физическое лицо, хоть юридическое купила антивирусник, то компания оказывает поддержку по восстановлению зашифрованных файлов? хоть на 1 комп., хоть на 10? Извините за такие вопросы, но наш приходящий системный администратор уехал отдыхать (в вопросы безопасности до этого случая не вникали, т.к. каждый должен заниматься своим делом) , мы обратились у кого покупали антивирусник, они так объяснили. 

 

Здесь отпускают грехи

 

https://support.drweb.com/support_wizard/?lng=ru


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#11 Ольга Екатеринбург

Ольга Екатеринбург

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 07 Сентябрь 2013 - 20:20

Это точно, это испытание дано не зря. Придется до нового года вручную восстанавливать 1С. Если администратор после отпуска найдет решение проблемы (у него есть есть опыт, в начале августа он полностью восстановил в одной компании порядка 300 баз, но там версия была другой, а у нас совсем свежая), то обязательно напишу. Пока никто не берется это сделать. придется самим хоть как-то вникать в совсем чуждую область. 



#12 Luka

Luka

    Newbie

  • Posters
  • 55 Сообщений:

Отправлено 07 Сентябрь 2013 - 20:30

Это точно, это испытание дано не зря. Придется до нового года вручную восстанавливать 1С. Если администратор после отпуска найдет решение проблемы (у него есть есть опыт, в начале августа он полностью восстановил в одной компании порядка 300 баз, но там версия была другой, а у нас совсем свежая), то обязательно напишу. Пока никто не берется это сделать. придется самим хоть как-то вникать в совсем чуждую область. 

ну если у вас нормальный сисадмин, то делать резервные копии баз на внешних носителях - его первостепенная задача..



#13 Владислав1976

Владислав1976

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 07 Сентябрь 2013 - 20:57

Вирус обнаружен во время резервного копирования на внешний носитель. за 1 минуту зашифровал внешний носитель. еще один предыдущий внешний носитель не инцилизируется. пришла беда отворяй ворота. а многих внешний носитель для архива всегда к компу подсоеденен. понятно что теперь буду использовать несколько носителей. но базы под терабайт, и кто мне даст время по 2 часа делать копии. если я не успеваю для 15 принтеров катриджы заправлять.



#14 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 07 Сентябрь 2013 - 22:35

 что-то не понял, в техподдержку обращались, что ответили о возможности расшифровки?



#15 Владислав1976

Владислав1976

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 08 Сентябрь 2013 - 00:57

Ура!!! Самуу большую базу 1с 82 полностью востановил. затратил 2 суток. Техподержка предоставила утилиту для частичного востановления doc файлов. после утилиты читаема 10%. остальный не обещают.



#16 Luka

Luka

    Newbie

  • Posters
  • 55 Сообщений:

Отправлено 09 Сентябрь 2013 - 09:58

Вирус обнаружен во время резервного копирования на внешний носитель. за 1 минуту зашифровал внешний носитель. еще один предыдущий внешний носитель не инцилизируется. пришла беда отворяй ворота. а многих внешний носитель для архива всегда к компу подсоеденен. понятно что теперь буду использовать несколько носителей. но базы под терабайт, и кто мне даст время по 2 часа делать копии. если я не успеваю для 15 принтеров катриджы заправлять.

Я всегда после копирывания на внешний носитель отключаю его от сервака.



#17 vondert

vondert

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 10 Сентябрь 2013 - 07:55

Вопрос у кого нибудь решился.



#18 KyTy30ff

KyTy30ff

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 10 Сентябрь 2013 - 08:51

А как вообще отловить эту бяку на стадии до заражения файлов?



#19 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 10 Сентябрь 2013 - 08:54

А как вообще отловить эту бяку на стадии до заражения файлов?

 

В 9 бете это уже реализовано


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#20 KyTy30ff

KyTy30ff

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 10 Сентябрь 2013 - 09:01

подскажите где её взять )))




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых