Признаки заражения: Файлы зашифрованы, дополнительное расширение - *.ARRESTED, контакты злоумышленников - razshifrovkin@gmail.com и либо razshifrovkin@hmamail.com, либо info.foryou1@aol.com.
Другой вариант имеет дополнительное расширение *.SECURITY, контакты злоумышленников - nanosecur@gmail.com.
Еще один вариант имеет дополнительное расширение *.locked, контакты злоумышленников - kz689179016@gmail.com
Если у вас другое расширение или другие email'ы - вам в другую тему!
Информация по трояну: Trojan.Encoder.321. Имеются 4 варианта. Очень вероятно, что троян - потомок 166-го и создан теми же людьми. Либо же полностью слизан со 166-го.
Первый вариант появился 15.10.2013, пути распространения не известны. Второе мыло - razshifrovkin@hmamail.com.
Второй вариант появился в районе 23.10.2013, пути распространения не известны. Второе мыло - info.foryou1@aol.com
Третий вариант появился в районе 14.11.2013, пути распространения не известны, расширение *.SECURITY
Четвертый вариант появился в районе 20.11.2013, пути распространения не известны, расширение *.locked
Расшифровка: Имеется для *.Arrested c мылом razshifrovkin@hmamail.com, для *.SECURITY и для .locked
Криптография: Явно двоечник писал! Многократный MD5, потом SHA1, потом AES-CBC... Ужос! :-)
Что необходимо сделать:
- озаботиться информационной безопасностью ваших машин.
- обратиться с заявлением о совершенном преступлении в правоохранительные органы.
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 зашифрованный doc-файл. Дожидаться ответа на Вашу почту сотрудника Dr.Web и далее следовать его указаниям.
Что НЕ нужно делать:
- ЧТО ЛИБО МЕНЯТЬ В РЕЕСТРЕ
- переименовывать зашифрованные файлы.
- использовать самостоятельно без консультации с сотрудниками Dr. Web любые программы для расшифровки/восстановления данных.
- Чистить или лечить машину чем либо: удалять/переименовывать какие-либо файлы, чистить почту, временные файлы и т.д.
Сообщение было изменено v.martyanov: 20 Ноябрь 2013 - 12:27