Перейти к содержимому


Фото
- - - - -

Зашифрованы файлы в *.cbf


  • Please log in to reply
106 ответов в этой теме

#1 YaceK

YaceK

    Newbie

  • Posters
  • 33 Сообщений:

Отправлено 25 Июнь 2014 - 10:13

Добрый день.

Настигла беда, зашифрованы файлы dbf, xls может ещё какие-то.

все файлы стали называться

Платежная.xls.id-{IJJKLLMNNOPPPQRRSTUUUVVWXYYYZZABCCCD-25.06.2014 3@35@122048682}-email-madeled@mail.ru.cbf

Куреит ничего не нашёл. На рабочем столе нашёл файл build.exe, появился ночью.

 

вирус тотал https://www.virustotal.com/ru/file/10402983bfd2b6d3a131a6a08428682c5e42ba91650dfb96a499bc30a7d906fb/analysis/1403680023/

 

может у кого такая-же проблема? на madeled@mail.ru написал, там молчат. Если надо могу выслать зашифрованный и незашифрованный файл и сам этот build.exe



#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 3 088 Сообщений:

Отправлено 25 Июнь 2014 - 10:13

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу . Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу , затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу , нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

#3 YaceK

YaceK

    Newbie

  • Posters
  • 33 Сообщений:

Отправлено 25 Июнь 2014 - 10:27

нашёл ещё папку c:\Users\admin\Program Files (x86)\RarLab\

там 3 файла

checkdata.dif

build.exe

winrar.tmp

 

winrar.tmp содержит следующий текст

{NNOPQRSSSTUUVWWWXYYZABBBCCDEFFFGGHIJ-25.06.2014 10@06@043089903}
44445657585859606666505142455353486443436247615252656354445555565749585960676650

в автозапуске ссылка на этот build.exe



#4 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 25 Июнь 2014 - 10:28

Техподдержка без вариантов.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#5 YaceK

YaceK

    Newbie

  • Posters
  • 33 Сообщений:

Отправлено 25 Июнь 2014 - 10:36

угу, хотел купить под это дело АВ, а пайпал временно недоступен. что делать?


Сообщение было изменено YaceK: 25 Июнь 2014 - 10:36


#6 YaceK

YaceK

    Newbie

  • Posters
  • 33 Сообщений:

Отправлено 25 Июнь 2014 - 10:50

не нашёл способа без ключа отправить в вирлаб, прикреплю всё сдесь, если интересно. пароль virus

Сообщение было изменено pig: 25 Июнь 2014 - 11:22
Убрал архив с подозрительными файлами


#7 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 25 Июнь 2014 - 10:51

"Техподдержка без вариантов." - прочитайте ЕЩЕ раз.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#8 G.Mike

G.Mike

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 25 Июнь 2014 - 11:06

Молчит техподдеожка, уже больше часа как подобные файлы были отправлены. Даже статус сообщений не изменился...



#9 pig

pig

    Бредогенератор

  • Helpers
  • 10 852 Сообщений:

Отправлено 25 Июнь 2014 - 11:24

не нашёл способа без ключа отправить в вирлаб, прикреплю всё сдесь

Выкладывать опасные файлы для общего доступа - моветон. Более того - уголовно наказуемое деяние.
Почтовый сервер Eserv тоже работает с Dr.Web

#10 YaceK

YaceK

    Newbie

  • Posters
  • 33 Сообщений:

Отправлено 25 Июнь 2014 - 12:14

G.Mike,

новостей не слышно из ТП?



#11 G.Mike

G.Mike

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 25 Июнь 2014 - 12:18

Попрежнему Статус запроса: Новый и никакой реакции....



#12 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 25 Июнь 2014 - 12:22

Максимально допустимое время реакции на запрос — 48 часов.


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#13 bormanuga

bormanuga

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 25 Июнь 2014 - 16:44

есть ли какие результаты так как слови подобное чудо.



#14 G.Mike

G.Mike

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 25 Июнь 2014 - 16:48

Ждемс...



#15 free-slon

free-slon

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 26 Июнь 2014 - 13:48

+ ещё один в армию зараженныж :(  Благо за 2 часа до этого мне стукнуло в голову пробэкапить всё  B) Сейчас пытаюсь его отловить, пока безрезультатно. Будем ждать ответа саппорта. Кстати списывался по эл.почте с ним, с разных адресов, отвечает стабильно, просит то 5000 россии, то 1 биткоин.



#16 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 26 Июнь 2014 - 13:51

Бэкап рулит!


Личный сайт по Энкодерам - http://vmartyanov.ru/


#17 free-slon

free-slon

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 26 Июнь 2014 - 14:12

Кстати шифрует он как-то непонятно, у меня в одной из баз 1с8 он зашифровал файл с разрешением .cd кто знает это один из основных, так вот, я поначалу тупо переименовал его обратно, потом скормил его утилитке chdbfl.exe (лежит в папке с самой восьмёркой) и вуаля, всё заработало. Это так пища для размышления.



#18 Scaramouche

Scaramouche

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 30 Июнь 2014 - 22:47

Господа, так чем закончилось-то?



#19 G.Mike

G.Mike

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 01 Июль 2014 - 06:02

Ответ из техподдрежки...

 

Вцелом понятно, что зашифовано очередной разновидностью Trojan.Encoder.567
И расшифровка нашими силами, к сожалению, невозможна.



#20 Genas

Genas

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 03 Июль 2014 - 13:33

Добрый день форум,

у меня вот такая беда!

РТУКа35073-27092013.PDF.id-{KLMMOOPPQRSSTTUVWXXXYZAABBCDEEFFGHHI-28.06.2014 1@26@375100638}-email-systemsinfo32@gmail.com.cbf

что делать как выйти из ситуации


Сообщение было изменено Genas: 03 Июль 2014 - 13:36



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых