Перейти к содержимому


Фото
- - - - -

Зашифрованы файлы, ant@lelantos.org


  • Please log in to reply
84 ответов в этой теме

#1 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 31 Июль 2014 - 15:15

Признаки заражения: файлы помещены в RAR-архив с паролем, контакты злоумышленников - ant@lelantos.org, второе мыло - ant@sigaint.org. Рядом с зашифрованными файлами лежат файлы "!Фaйлы зaшифpовaны.txT" и !!password* с каким-то "мусором".

Второй вариант - тоже RAR-архивы, контакты hawker@mail2tor.com

 

Информация по трояну: Trojan.Encoder.556, очередная модификация. Распространение началось 31.07.2014, версия hawker@mail2tor.com начала распространяться 25-26.09.2014

 

Криптография: RAR

 

Расшифровка: Возможна при некоторых условиях, например при наличии файлов с паролями. От оперативности обращения в вирлаб и чтения этого руководства успех зависит самым серьезным образом.

 

Что необходимо сделать:

- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 зашифрованный doc-файл. Дожидаться ответа на Вашу почту сотрудника Dr.Web и далее следовать его указаниям.

- озаботиться информационной безопасностью ваших машин.

- обратиться с заявлением о совершенном преступлении в правоохранительные органы.

 

Что НЕ нужно делать:

- Перезагружать или выключать машину. Любыми методами нужно предотвращать перезапуск системы до получения инструкций из вирлаба!
- использовать самостоятельно без консультации с сотрудниками Dr. Web любые программы для расшифровки/восстановления данных.

- Чистить или лечить машину чем либо: удалять/переименовывать какие-либо файлы, чистить почту, временные файлы и т.д.


Сообщение было изменено v.martyanov: 26 Сентябрь 2014 - 11:56
ant@sigaint.org

Личный сайт по Энкодерам - http://vmartyanov.ru/


#2 Muncubus

Muncubus

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 31 Июль 2014 - 17:25

Скажите, тут будут новости по поводу данной модификации? Уже поймали. Продукцией Дрвеб не пользуемся, посему не можем предоставить по ссылке зашифрованный файл. Машины, с которых пошло заражение изолировали. Буду ждать инструкций тут.


Сообщение было изменено Muncubus: 31 Июль 2014 - 17:25


#3 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 749 Сообщений:

Отправлено 31 Июль 2014 - 17:28

Продукцией Дрвеб не пользуемся, посему не можем предоставить по ссылке зашифрованный файл.

 

Значит расшифровкой Ваших файлов заниматься не будут.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#4 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 31 Июль 2014 - 17:36

Скажите, тут будут новости по поводу данной модификации? Уже поймали. Продукцией Дрвеб не пользуемся, посему не можем предоставить по ссылке зашифрованный файл. Машины, с которых пошло заражение изолировали. Буду ждать инструкций тут.

Про расшифровку все написано.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#5 Muncubus

Muncubus

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 31 Июль 2014 - 17:37

 

Продукцией Дрвеб не пользуемся, посему не можем предоставить по ссылке зашифрованный файл.

 

Значит расшифровкой Ваших файлов заниматься не будут.

 

Стоит ли ждать платной или бесплатной утилиты по расшифровке?



#6 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 31 Июль 2014 - 17:41

ЕЩЕ РАЗ: ВСЕ НАПИСАНО. При каких условиях расшифровка возможна, а при каких нет.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#7 VVS

VVS

    The Master

  • Moderators
  • 17 483 Сообщений:

Отправлено 31 Июль 2014 - 17:42

Утилита для расшифровки бесплатна для лицензионных пользователей DrWeb.

Не пользователям DrWeb утилита не предоставляется, консультации по расшифровке не оказываются.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#8 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 31 Июль 2014 - 17:43

Утилита для расшифровки бесплатна для лицензионных пользователей DrWeb.

Не пользователям DrWeb утилита не предоставляется, консультации по расшифровке не оказываются.

Не надо этого товарища вводить в заблуждение. Утилиты под эти случаи нет. Ее не будет. Условия расшифровки указаны.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#9 Muncubus

Muncubus

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 31 Июль 2014 - 17:54

 

Утилита для расшифровки бесплатна для лицензионных пользователей DrWeb.

Не пользователям DrWeb утилита не предоставляется, консультации по расшифровке не оказываются.

Не надо этого товарища вводить в заблуждение. Утилиты под эти случаи нет. Ее не будет. Условия расшифровки указаны.

 

Спасибо. Все понятно.



#10 InClUdE

InClUdE

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 01 Август 2014 - 00:31

Скажите, тут будут новости по поводу данной модификации? Уже поймали. Продукцией Дрвеб не пользуемся, посему не можем предоставить по ссылке зашифрованный файл. Машины, с которых пошло заражение изолировали. Буду ждать инструкций тут.

+1 .... вся шара в запароленном архиве.... найдешь какое нибудь решение - сообщи плиз



#11 InClUdE

InClUdE

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 01 Август 2014 - 00:35

Кстати.... сам троян идет в файле .CMD ... его тело еще осталось.... так что если интересно кому поковырять - могу скинуть



#12 mardy

mardy

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 01 Август 2014 - 09:24

запускается ли вирус после перезагрузки компьютера? продолжается ли шифрование?



#13 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 01 Август 2014 - 10:03

запускается ли вирус после перезагрузки компьютера? продолжается ли шифрование?

Нет.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#14 mardy

mardy

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 01 Август 2014 - 11:38

у меня есть файл thy, не подскажете, что делать дальше?



#15 VVS

VVS

    The Master

  • Moderators
  • 17 483 Сообщений:

Отправлено 01 Август 2014 - 11:39

у меня есть файл thy, не подскажете, что делать дальше?

Оформлять запрос на https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#16 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 01 Август 2014 - 11:40

у меня есть файл thy, не подскажете, что делать дальше?

У вас есть файл thy.ss, а не thy. Я более чем уверен.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#17 mardy

mardy

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 01 Август 2014 - 11:46

да, так и есть, thy.ss и symbol.thy

это не оно?



#18 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 01 Август 2014 - 11:49

да, так и есть, thy.ss и symbol.thy

это не оно?

 

"Дивизия" и "дивизия SS" - разные же вещи, хотя отличаются всего на 2 буквы.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#19 krashow

krashow

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 01 Август 2014 - 19:46

Сегодня попался нам этот чудо-зверь. Пришёл по почте (свой сервак на postfix, из антивирусной стоит clamav), с какой темой и содержанием - не в курсе. Был архив, в нём cmd файл. При запуске удалил письмо и очистил корзину в почтовом клиенте. В диспетчере задач светился как myar.exe. Работает в несколько потоков, ибо за 10 минут жизни успел сожрать данные на разных дисках. После того, как грохнули в диспетчере - не смогли этот файл найти нигде. Ни архивов, ни cmd/exe никаких не было. Ел исключительно doc, xls, pdf и jpg файлы. docx и xlsx не трогал. Подъел базу 1с - то, что не успел зашифровать просто сделал с 0 размером.



#20 thyrex

thyrex

    Member

  • Posters
  • 279 Сообщений:

Отправлено 01 Август 2014 - 19:51

Был архив, в нём cmd файл
Переименованный самораспаковывающийся rarsfx-архив

Распаковка идет в папку C:\tmp

 

myar.exe
Скорее  moar 

 

т
да нет, один единственный


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых