Перейти к содержимому


Фото
- - - - -

Зашифрованы файлы, marikol8965@yahoo.com


  • Закрыто Тема закрыта
647 ответов в этой теме

#21 eugene_7

eugene_7

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 18 Июнь 2013 - 15:06

Надеюсь скоро все исправится.

Прикрепленные файлы:



#22 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 18 Июнь 2013 - 15:07

v.martyanov, ок. а тема письма всегда одна - Заказ для *****@******* ?

сигнатуры Dr.Web блокируют уже письмо?

Я письма-то не видел :-)


Личный сайт по Энкодерам - http://vmartyanov.ru/


#23 Juiceeguy

Juiceeguy

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 18 Июнь 2013 - 15:09

Добрый день. 

Тоже хватанул эту дрянь.

 

Тикет: [drweb.com #4175970].

 

В добавок ко всему outlook перестал принимать почту. Выдает ошибку о том что не может найти почтовый сервер. Ранее утром при запуске outlook зап%D



#24 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 18 Июнь 2013 - 15:10

Надеюсь скоро все исправится.

проверьте заодно на вирустотал файлик 

C:\Windows\updates.exe

 


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#25 Юхим

Юхим

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 18 Июнь 2013 - 15:11

VVS, самого письма счастья нет. Хочу чтоб его и не было. Для  чего и спрашиваю.



#26 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 18 Июнь 2013 - 15:12

 

Надеюсь скоро все исправится.

проверьте заодно на вирустотал файлик 

C:\Windows\updates.exe

 

Это его загрузчик, ага.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#27 skbob

skbob

    Newbie

  • Posters
  • 17 Сообщений:

Отправлено 18 Июнь 2013 - 15:14

Всем добрый (надеюсь) день.
Та же беда.. 

[drweb.com #4176707]

 

вдобавок ко всему вышесказанному слетели  обои рабочего стола

 



#28 Юхим

Юхим

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 18 Июнь 2013 - 15:15

вдобавок ко всему вышесказанному слетели  обои рабочего стола

 хоть чуток юмора есть



#29 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 18 Июнь 2013 - 15:16

 

 

Надеюсь скоро все исправится.

проверьте заодно на вирустотал файлик 

C:\Windows\updates.exe

 

Это его загрузчик, ага.

 

 

А что бутират уже не используют?


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#30 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 18 Июнь 2013 - 15:21

215/225 шли со своим загрузчиком. Сплоет 2012-го года->лоадер->энкодер.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#31 dimmon3

dimmon3

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 18 Июнь 2013 - 15:40

я тут провел опыт на виртуальной машине (может пригодится для решения проблемы) - схема заражения такая:

1) в папку %TEMP% помещается файл 2007.exe

2) 2007.exe создает файл updates.exe в каталоге %windir%

3) updates.exe подключается к серверу ru109.activeby.net и оттуда получает кодировщик и ID.

4) далее кодировщик (в моем случае это %HOMEDRIVE%\6OoxkJ8eoxYSEoe6fVmJ.exe) занимается уже переколбашиванием файлов...


Сообщение было изменено dimmon3: 18 Июнь 2013 - 15:41


#32 vanaol

vanaol

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 18 Июнь 2013 - 15:50

drweb.com #4176649

 http://webfile.ru/6569639



#33 Юхим

Юхим

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 18 Июнь 2013 - 15:51

dimmon3,  а ты попробуй забань  activeby.net куда он поломится дальше?



#34 romanauscas

romanauscas

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 18 Июнь 2013 - 15:58

Скажите, так этот вирус распространяется обходя любые антивирусы? Я сис.админ, ко мне обратился пострадавший от этого вируса. ОС Windows XP, антивирус НОД с просроченными базами. У меня волосы дыбом от последствий. + у него еще файл расшифровать тоже ЗАШИФРОВАН и с тупым расширением почты иродов. т.е ID для расшифровки негде и взять. 

 

Мне просто интересно, если бы система была Виндовс 7 или 8, с последними обновлениями ОС, с работающим антивирусом например Доктор Веб, с обновленными базами, то проскочил бы он так просто в папку темп и далее по своему жизненному пути?

 



#35 Beavis_cool

Beavis_cool

    Newbie

  • Posters
  • 28 Сообщений:

Отправлено 18 Июнь 2013 - 15:58

Антивирусы - пока не определяют это как вирус. ибо он только вчера вечером в сеть попал. (первое сообщение темы об этом гласит)

 

хммм.. вот я тоже думаю - все постарадавшие - пользователи Windows XP


Сообщение было изменено Beavis_cool: 18 Июнь 2013 - 15:59


#36 dimmon3

dimmon3

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 18 Июнь 2013 - 16:00

Юхим, пробовал. он постучался и отвалился. кстати если отдельно запустить кодировщик, то он всё равно все файлы переколбашивает, но только в файле РАСШИФРОВАТЬ поле ID пустое. Значит ли это, что алгоритм шифрования от ID не зависит?!



#37 Юхим

Юхим

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 18 Июнь 2013 - 16:01

 + у него еще файл расшифровать тоже ЗАШИФРОВАН

 

значит у него джекпот поймал 2 трояна



#38 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 18 Июнь 2013 - 16:04

Скажите, так этот вирус распространяется обходя любые антивирусы? Я сис.админ, ко мне обратился пострадавший от этого вируса. ОС Windows XP, антивирус НОД с просроченными базами. У меня волосы дыбом от последствий. + у него еще файл расшифровать тоже ЗАШИФРОВАН и с тупым расширением почты иродов. т.е ID для расшифровки негде и взять. 

 

Мне просто интересно, если бы система была Виндовс 7 или 8, с последними обновлениями ОС, с работающим антивирусом например Доктор Веб, с обновленными базами, то проскочил бы он так просто в папку темп и далее по своему жизненному пути?

Exploit 12-го года, так что вряд ли запустилось бы хоть что-то.



Юхим, пробовал. он постучался и отвалился. кстати если отдельно запустить кодировщик, то он всё равно все файлы переколбашивает, но только в файле РАСШИФРОВАТЬ поле ID пустое. Значит ли это, что алгоритм шифрования от ID не зависит?!

От ID вроде не зависит, это только серийник диска.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#39 Юхим

Юхим

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 18 Июнь 2013 - 16:07

dimmon3, а тело письма ты не удалил? что там в свойствах?



#40 Юхим

Юхим

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 18 Июнь 2013 - 16:09

v.martyanov, а вам присылали уже само тело письма?




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых