Перейти к содержимому


Фото
- - - - -

Вирус зашифровал файлы


  • Please log in to reply
43 ответов в этой теме

#1 mordarenkoas

mordarenkoas

    Member

  • Posters
  • 323 Сообщений:

Отправлено 21 Июнь 2012 - 14:06

Здравствуйте.
Возникла проблема след характера.
Вчера ко мне обратился старый знакомый с просьбой посмотреть, что с компом.
Выяснилось, вирусня зашифровала полвинта, файлы с оригинальным именем и расширением .BLOCKAGE
К СОЖАЛЕНИЮ, ЭТОТ ЧЕЛОВЕК САМОСТОЯТЕЛЬНО ПРОГНАЛ СИСТЕМУ Cure-it - ом, и файл вируса был удален.
Фрагмент лога:

C:\WINDOWS\system32\3com_dmi\svhost.exe - infected with Trojan.PWS.Siggen.28387
C:\WINDOWS\system32\3com_dmi\svhost.exe - infected

При обращении в support попросили тело вируса.
Если я его у себя найти не смогу (скорее всего), что делать?

И раз уж drweb знает эту вирусню, значит она была у них в вирлабе, и, поидее, у них должно быть и тело вируса?

#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 2 704 Сообщений:

Отправлено 21 Июнь 2012 - 14:06

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и RkU. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Что не нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума;

#3 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 21 Июнь 2012 - 14:10

Фрагмент лога:

C:\WINDOWS\system32\3com_dmi\svhost.exe - infected with Trojan.PWS.Siggen.28387
C:\WINDOWS\system32\3com_dmi\svhost.exe - infected

давайте весь лог в архиве.

#4 mordarenkoas

mordarenkoas

    Member

  • Posters
  • 323 Сообщений:

Отправлено 21 Июнь 2012 - 14:13

Фрагмент лога:

C:\WINDOWS\system32\3com_dmi\svhost.exe - infected with Trojan.PWS.Siggen.28387
C:\WINDOWS\system32\3com_dmi\svhost.exe - infected

давайте весь лог в архиве.

упс...
из дома вечером...

#5 mordarenkoas

mordarenkoas

    Member

  • Posters
  • 323 Сообщений:

Отправлено 22 Июнь 2012 - 09:41

Выдать лог сегодня не смог.
Есть другой вопрос - я не смог никакими утилитами вытащить удаленное drweb-ом тело вируса, которое меня попросили прислать в support.
Вопрос - drweb применяет секьюрное удаление? (физическую затирку файла)?
И еще, раз тела вируса больше нет, все, ёк? Как скоро можно рассчитывать на помощь в расшифровке? Или вообще не стоит?

#6 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 22 Июнь 2012 - 09:48

Выдать лог сегодня не смог.

он необходим.

Есть другой вопрос - я не смог никакими утилитами вытащить удаленное drweb-ом тело вируса, которое меня попросили прислать в support.

в карантине cureit смотрели ?

И еще, раз тела вируса больше нет, все, ёк? Как скоро можно рассчитывать на помощь в расшифровке?

спросите у аналитика, который занимается Вашим запросом.

#7 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 22 Июнь 2012 - 12:21

Вопрос - drweb применяет секьюрное удаление? (физическую затирку файла)?

Раньше так и было - стертый Доктором файл восстановлению не подлежал. Как сейчас - а, думаю, так же...
С уважением,
Борис А. Чертенко aka Borka.

#8 colombian

colombian

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 25 Июнь 2012 - 09:04

У меня таже ерунда. Вирус прошелся все файлы с расширением .blockage Я ничего не удалял. Зашифрованный файл скинул запрос: [drweb.com #3470006]. Могу скинуть два одинаковых файла: один зашифрованный другой нет. И еще есть тхт с таким содоржанием:

Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация (документы, фильмы и другие файлы) на этом компьютере была зашифрована
с помощью самого криптостойкого алгоритма в мире RSA1024.
Восстановить файлы можно только при помощи специальной программы. Чтобы её получить, Вам необходимо
написать нам письмо на адрес blockage@tormail.org К письму прикрепите файл "HOW TO DECRYPT FILES.TXT".
Письма с угрозами будут угрожать только Вам и Вашим файлам! НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!

====================
70473D32423363213493B39B1407191915AA0DECC06B16F0D380710E259ACF03
27495632C051F4D98B186506E1DE5EFFD0C492A69F762EE4EC6B10E337FDA675
CAC608E2EDA8D4341034987E0EE57E3016AFAC7483421A1F9E0332106A0973D7
59106D91E647EB1759AB8EA39540119E93B522DCA2D1D463B6228704DC121C2E
19535D5E525A50565450401952F4B693DE6A92B488F7D61F5D126D4C063AA4A5
====================

У меня таже ерунда. Вирус прошелся все файлы с расширением .blockage Я ничего не удалял. Зашифрованный файл скинул запрос: [drweb.com #3470006]. Могу скинуть два одинаковых файла: один зашифрованный другой нет. И еще есть тхт с таким содоржанием:

Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация (документы, фильмы и другие файлы) на этом компьютере была зашифрована
с помощью самого криптостойкого алгоритма в мире RSA1024.
Восстановить файлы можно только при помощи специальной программы. Чтобы её получить, Вам необходимо
написать нам письмо на адрес blockage@tormail.org К письму прикрепите файл "HOW TO DECRYPT FILES.TXT".
Письма с угрозами будут угрожать только Вам и Вашим файлам! НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!

====================
70473D32423363213493B39B1407191915AA0DECC06B16F0D380710E259ACF03
27495632C051F4D98B186506E1DE5EFFD0C492A69F762EE4EC6B10E337FDA675
CAC608E2EDA8D4341034987E0EE57E3016AFAC7483421A1F9E0332106A0973D7
59106D91E647EB1759AB8EA39540119E93B522DCA2D1D463B6228704DC121C2E
19535D5E525A50565450401952F4B693DE6A92B488F7D61F5D126D4C063AA4A5
====================

#9 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 25 Июнь 2012 - 10:47

У меня таже ерунда. Вирус прошелся все файлы с расширением .blockage Я ничего не удалял. Зашифрованный файл скинул запрос: [drweb.com #3470006]. Могу скинуть два одинаковых файла: один зашифрованный другой нет.

добавьте их к запросу.
сделайте лог cureit по Правилам http://forum.drweb.com/index.php?showtopic=277652
но ничего не лечить и не удалять из того, что найдет cureit.

#10 mordarenkoas

mordarenkoas

    Member

  • Posters
  • 323 Сообщений:

Отправлено 25 Июнь 2012 - 16:33

У меня таже ерунда. Вирус прошелся все файлы с расширением .blockage Я ничего не удалял. Зашифрованный файл скинул запрос: [drweb.com #3470006]. Могу скинуть два одинаковых файла: один зашифрованный другой нет.

добавьте их к запросу.
сделайте лог cureit по Правилам http://forum.drweb.com/index.php?showtopic=277652
но ничего не лечить и не удалять из того, что найдет cureit.


У меня вопрос решен.
Поскольку человек удалил вирус, и я не смог прислать его в support, мне помочь не смогли.
Мы решили попробовать заплатить денег, и у нас получилось.
Цена вопроса 3тр, мне прислали расшифровщик, ехе-шник 7.5 кб
Расшифровывал почти 2 часа, все ок

#11 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 25 Июнь 2012 - 16:43

mordarenkoas не хотите поделиться расшифровщиком?

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#12 colombian

colombian

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 26 Июнь 2012 - 09:11

Отправлено Вчера, 19:33
userr, 25 June 2012 - 13:47, написал:
colombian, 25 June 2012 - 12:04, написал:
У меня таже ерунда. Вирус прошелся все файлы с расширением .blockage Я ничего не удалял. Зашифрованный файл скинул запрос: [drweb.com #3470006]. Могу скинуть два одинаковых файла: один зашифрованный другой нет.
добавьте их к запросу.
сделайте лог cureit по Правилам http://forum.drweb.com/index.php?showtopic=277652
но ничего не лечить и не удалять из того, что найдет cureit.
У меня вопрос решен.
Поскольку человек удалил вирус, и я не смог прислать его в support, мне помочь не смогли.
Мы решили попробовать заплатить денег, и у нас получилось.
Цена вопроса 3тр, мне прислали расшифровщик, ехе-шник 7.5 кб
Расшифровывал почти 2 часа, все ок



Мне тоже не помогли, вопрос 3 тысчячи рублей и тоже прислали расшифровщик! На всех сайтах в интернете говорится, что расшифровать RSA1024 не возможно, даже у каспера есть статья про этот случай. Поэтому я заплатил.

mordarenkoas, человек вирус и не удалял. Опять же на просторах инета пишут, что новая модификация вируса после того как нагадит удаляет себя сам, оставляя только зашифрованные файлы и файл с "контактной инфой".

P.S. Вот так люди деньги делают, а мы пашем.... иной раз сутками....

#13 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 350 Сообщений:

Отправлено 26 Июнь 2012 - 09:52

antonon, для "поболтать" имеется раздел Свободное общение.

#14 sven1987

sven1987

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 01 Октябрь 2012 - 22:29

и все же как расшифровать HOW TO DECRYPT FILES.TXT

#15 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 03 Октябрь 2012 - 11:18

и все же как расшифровать HOW TO DECRYPT FILES.TXT

Вы уже в Вирлаб обратились?
С уважением,
Борис А. Чертенко aka Borka.

#16 sven1987

sven1987

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 04 Октябрь 2012 - 10:27

и все же как расшифровать HOW TO DECRYPT FILES.TXT

Вы уже в Вирлаб обратились?

да уже дня 3 назад.

#17 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 04 Октябрь 2012 - 12:33

и все же как расшифровать HOW TO DECRYPT FILES.TXT

Вы уже в Вирлаб обратились?

да уже дня 3 назад.

Тогда номер тикета озвучьте.
С уважением,
Борис А. Чертенко aka Borka.

#18 sven1987

sven1987

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 09 Октябрь 2012 - 17:30

и все же как расшифровать HOW TO DECRYPT FILES.TXT

Вы уже в Вирлаб обратились?

да уже дня 3 назад.

Тогда номер тикета озвучьте.


вот
drweb.com #3636784

#19 ExcelLent

ExcelLent

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 17 Сентябрь 2013 - 15:57

Чтобы избавиться от вируса,блокирующего ваши файлы,проходим в папочку Диск C-->Windows-->System32-->Drivers-->etc.Где находим файл ... ,копируем этот файл у дрогого пользователя(например у вашего друга),приходим домой,УДАЛЯЕМ!этот файл,и ставим вместо своего старого файл ... своего знакомого,после чего,качаем программу ..., запускаем проверку,и ждем окончания расшифровки файлов,у меня была такая же проблема,исправил,если возникнут вопросы,добавляйтесь ВКонтакте ...

или в майл.ру агенте ...


Сообщение было изменено v.martyanov: 17 Сентябрь 2013 - 15:59
Удалены вредные советы


#20 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 17 Сентябрь 2013 - 16:00

 

Чтобы избавиться от вируса,блокирующего ваши файлы,проходим в папочку Диск C-->Windows-->System32-->Drivers-->etc.Где находим файл ... ,копируем этот файл у дрогого пользователя(например у вашего друга),приходим домой,УДАЛЯЕМ!этот файл,и ставим вместо своего старого файл ... своего знакомого,после чего,качаем программу ..., запускаем проверку,и ждем окончания расшифровки файлов,у меня была такая же проблема,исправил,если возникнут вопросы,добавляйтесь ВКонтакте ...

или в майл.ру агенте ...

 

Советы здесь дают только профессионалы. Половина предложенного вами способа не имеет никакого отношения к проблеме шифрования файлов это раз, а вторая половина мягко скажем отстает от наших разработок. Еще раз опубликуете подобную глупость - уйдете в бан.


Личный сайт по Энкодерам - http://vmartyanov.ru/



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых