Перейти к содержимому


Фото
* * * * * 1 Голосов

Зашифрованы файлы, muranchiki@yahoo.com

muranchiki@yahoo.com

  • Закрыто Тема закрыта
201 ответов в этой теме

#1 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 18 Апрель 2013 - 16:26

Признаки трояна: Создан файл C:\crypt.txt, в нем указан email для связи с авторами muranchiki@yahoo.com, расширение файлов не менялось. Если хоть один признак не совпадает - вам в другую тему.
 
По состоянию на 19:40 (MSK) 19.04.2013 состояние следующее:
Распространение началось в районе 17 часов по Москве 18.04.2013. Незначительная модификация 215-го имя будет Trojan.Encoder.215. Расшифровка возможна в автоматическом режиме для многих случаев!
 
 
Рекомендации:
Скачать на пораженную машину ftp://ftp.drweb.com/pub/drweb/tools/te215decrypt.exe и запустить. Утилита создает КОПИИ файлов, соответственно у вас должно хватать места на дисках для них.
 
Если утилита не расшифровала файлы или расшифровала неправильно:
Пишите в свою заявку об этом. Если заявки нет - сообщите о проблеме в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/  в категорию Запрос на лечение. Обязательно укажите сообщение, которое выдает утилита!
 
 
Что НЕ нужно делать:
- переустанавливать операционную систему;
- удалять или модифицировать C:\crypt.txt
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web любые дешифраторы, кроме te215decrypt.exe
- В случае неудачной расшифровки при помощи te215decrypt.exe пытаться решить проблему без консультации с вирусным аналитиком Dr. Web

 

Обновили утилиту te215decrypt. В версии 1.2.0 добавлена обработка коротких "Ваш ID".

Дело в том, что если трояну удается отправить ключ шифрования (уникальный для каждого случая заражения) на сервер злоумышленника, то в файл crypt.txt записывается только короткий ID. Если же по каким то причинам ключ не отправился, т.е. его нет у злоумышленника, то преобразованный ключ шифрования полностью записывается в файл crypt.txt.
Утилиту можно использовать в трех случаях:
1. У Вас в корне диска лежит файл C:\crypt.txt, в котором содержится либо короткий ID, либо ключ полностью. Тогда утилиту можно запустить без параметров.
2. Вы знаете короткий "Ваш ID". Тогда его можно указать параметром к утилите. Например: te215decrypt.exe B43E8423
3. Вы не знаете короткого "Ваш ID", но уверены что файлы зашифрованы Trojan.Encoder.215. Тогда вместо "Ваш ID" подставьте значение "серийного номера системного тома" (узнать его можно выполнив консольную команду dir).

Для некоторых ID расшифровка файлов возможна. Если же Вы знаете только короткий "Ваш ID" и после нажатия кнопки "продолжить" утилита выдаст сообщение "Неизвестный идентификатор" или "Ошибка обработки данных трояна", то расшифрока этой утилитой невозможна.


Сообщение было изменено userr: 24 Апрель 2013 - 16:35

Личный сайт по Энкодерам - http://vmartyanov.ru/


#2 Ivet

Ivet

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 19 Апрель 2013 - 11:07

[drweb.com #4019438]

За два дня два разных вируса-криптора, один уже разобрали tr215decryptor, жду теперь решение этой проблемы. 

Рассылка была, с утра 18.04.13

Спасибо больше.


Сообщение было изменено Ivet: 19 Апрель 2013 - 11:08


#3 ankovtun

ankovtun

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 19 Апрель 2013 - 11:29

Та же проблема жду решения :(

Секретарь работать не может.  

Рассылка была, с утра 18.04.13. 

За ранние спасибо. 

 

Текст crypt.txt :

 

Все ваши файлы зашифрованы. Расшифровать их можно только имея уникальный для вас дешифратор.

Стоимость расшифровки файлов 4000 рублей.

Если вы заинтересованы в расшифровке файлов свяжитесь с нами по email:

muranchiki@yahoo.com

Также если вы хотите убедится в том, что мы действительно сможем расшифровать ваши файлы, вы можете приложить любой небольшой файл, а также файл C:\crypt.txt и мы его вам расшифруем.

Не пытайтесь расшифровать файлы различными программами для расшифровки файлов, это может привести к тому, что даже мы уже вам помочь с расшифровкой не сможем!

----

Ваш ID:18BAA83D...

----


Сообщение было изменено ankovtun: 19 Апрель 2013 - 11:32


#4 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 19 Апрель 2013 - 11:30

ankovtun, номер тикета?


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#5 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 19 Апрель 2013 - 11:31

И даже после этого никто не будет ужесточать политики ИБ!


Личный сайт по Энкодерам - http://vmartyanov.ru/


#6 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 19 Апрель 2013 - 11:33

И даже после этого никто не будет ужесточать политики ИБ!

Страшно далеки они от народа. ©  :facepalm:

Это я про тебя. :P


Сообщение было изменено VVS: 19 Апрель 2013 - 11:34

меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#7 Seoanalyzer

Seoanalyzer

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 19 Апрель 2013 - 11:36

Рассылка была вчера в районе 3 часов дня, поскольку уже в 15:30 были первые файлы зашифрованы



#8 ifinder

ifinder

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 19 Апрель 2013 - 11:37

[drweb.com #4019526].

 

 

Письмо с вирусом-криптором пришло еще 16/04 поздно вечером.

Вложение вордовский документ который открывался как бы пустой.

На следующий день компютер как бы медленнее работал, пожже запустили проверку CureIt.

Были некоторые файлы зараженные или опасные. Именно updater.exe - был вылечен.

После как бы компютер далее работал.

18/04 после обеда пропала заставка рабочего стола - соответственно было обнаружено что и другие файлы на рабочем столе не открываются. Расширение не изменялось.

в папке C:\Program Files\Windows Update\ 

остался только updater.bat

и видно что последнее изменение папки 11:33.

В это же время создан файл в корене диска С - crypt.txt с инструкциями.

 

На диске Д некоторые файлы не были зашифрованы. Причем в одной папке. Но у них разные типы имени (фотографии с фотоаппарата).

 

Надеюсь на помощь. 



#9 Ivet

Ivet

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 19 Апрель 2013 - 11:51

Я лично, только за ужесточение политик ИБ. 

Какие могут быть практические советы? 

Почтовик с базами BL, грейлистинг. Но иногда бывает отсекает нужную почту.

Пользователям, совсем все равно, какой файл запускать. Открывают все подряд.

Больше скажу они не читают системные сообщения и рассылки, с предупреждениями. Я как только узнал о рассылке с вирусом, через антивирус разослал сообщение на все рабочие станции, чтоб не открывали подозрительные файлы. НИКТО не читает, эти сообщения. В общем приходится бороться как есть =(



#10 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 19 Апрель 2013 - 12:00

Ivet

  1. Backup.
  2. Политиками винды ограничить список запускаемых прог.
  3. ....

Сообщение было изменено VVS: 19 Апрель 2013 - 12:01

меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#11 Nologin

Nologin

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 19 Апрель 2013 - 12:16

День добрый, нужны еще образцы целого и коцаного файла, тело вируса и прочее?

У нас пострадал пока только один юзер, зараза попала 17-го числа, прописалась в авторан, и 18-го начала свое черное дело с 7,30 по Украине, к 14.00 все уже было сделано.



#12 romchyk

romchyk

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 19 Апрель 2013 - 12:17

[drweb.com #4019332]
Windows 7 x32
Путь прихода вируса неизвестен.
Зашифровало файлы .doc; .docx; .jpg; .pdf и некорорые другие.
Вирус видимо в файле "updates.exe". Было найдено два файла с этим именем, один из них прислан в письме 2 [drweb.com #4019332].
Вирус создал файл "C:\crypt.txt" с идентификатором расшифровки и адресом muranchiki@yahoo.com:

 

Spoiler

Был ещё файл "updates.bat" (то ли "update.bat"), который вирус добавил на автозагрузку. Но потом сам удалил, возможно ещё до самой автозагрузки, его содержимое не нашёл.



#13 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 19 Апрель 2013 - 12:22

День добрый, нужны еще образцы целого и коцаного файла, тело вируса и прочее?

Читать сообщение #1 в этой теме.


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#14 userr

userr

    Newbie

  • Members
  • 16 310 Сообщений:

Отправлено 19 Апрель 2013 - 12:22

письма, в которых не будет номера запроса в вирлаб (см пост 1), будут удаляться.


Сообщение было изменено userr: 19 Апрель 2013 - 12:32


#15 guido

guido

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 19 Апрель 2013 - 12:35

тикет  #4019391

 

 

вчера к 17-00 комп был зашифрован письмо счастья пришло с утра. доковский файл.



#16 oscarbin

oscarbin

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 19 Апрель 2013 - 12:46

Ситуация один в один как у ifinder
drweb.com #4019612



#17 AndyKharin

AndyKharin

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 19 Апрель 2013 - 13:11

тикеты есть только не на "Запрос на лечение", повторить с новой темой?

[drweb.com #4018726]

[drweb.com #4018710]

[drweb.com #4018706]

[drweb.com #4018705]

[drweb.com #4018686]

[drweb.com #4018681]



#18 antonian

antonian

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 19 Апрель 2013 - 13:12

У нас таже беда, все симптомы один в один

drweb.com #4019665

Работа стала :(



#19 userr

userr

    Newbie

  • Members
  • 16 310 Сообщений:

Отправлено 19 Апрель 2013 - 13:29

AndyKharin

почему такая куча тикетов и все не туда?



#20 k--andrey

k--andrey

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 19 Апрель 2013 - 13:39

Пошифровало файлы, имена не поменялись. Адрес вымогателя совпал.
Подозрительные файлы подгрузил.
drweb.com #4019697

Вирус попал через експлойт в ворде.

Вирус скачался с vps2795.megahoster.net:http и самоликвидировался.

 

Пытаюсь найти тело шифровщика. Предположительное имя updater.exe




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых