Перейти к содержимому


Фото
* * * * * 2 Голосов

Зашифрованы файлы, milenium56m1@yahoo.com

milenium56m1@yahoo.com

  • Please log in to reply
157 ответов в этой теме

#21 VVS

VVS

    The Master

  • Moderators
  • 17 403 Сообщений:

Отправлено 07 Июнь 2013 - 16:40

Могут ли помочь "расследованию" чистый файл и его зашифрованная копия? Вместе с КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt decrypting.txt decrypting.jpg

.

Да, естественно.

Отправьте всё это в вирлаб в нужную категорию.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#22 starget

starget

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 07 Июнь 2013 - 16:50

отправил. Категория "запрос на лечение". Удачного поиска решения :)



#23 sava_sava

sava_sava

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 07 Июнь 2013 - 16:55

создал тикет

drweb.com #4127707

отправил зашифрованный, оригинальный файл и предположительно сам вирус

 

жду решения



#24 Djohny

Djohny

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 07 Июнь 2013 - 20:58

отправил через Ваш скрипт вордовский файл-заражатель :))) думаю с ним чуть проще будет? 

(пока к сожалению в фильтры почты добавить нечего :((( только 1 адрес и 1 тема , подозреваю что их будет под сотню :((( )


Сообщение было изменено Djohny: 07 Июнь 2013 - 21:00


#25 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 07 Июнь 2013 - 21:05

отправил через Ваш скрипт вордовский файл-заражатель :))) думаю с ним чуть проще будет?

номер запроса? (тикета)
 

(пока к сожалению в фильтры почты добавить нечего :((( только 1 адрес и 1 тема , подозреваю что их будет под сотню :((( )

о чём это?



#26 witcher6999

witcher6999

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 07 Июнь 2013 - 22:08

А я вот так и не нашел, файл вирус. Хотя подозреваю что пришло резюме с сайта по поиску рабочих (они их не контролируют вобще), так как пострадал только пк из отдела кадров....



#27 AlexTimmi

AlexTimmi

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 07 Июнь 2013 - 23:01

Дивная зараза... Пол дня пытаюсь на другой машине специально запустить его а никакой реакции...



#28 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 690 Сообщений:

Отправлено 07 Июнь 2013 - 23:27

Дивная зараза... Пол дня пытаюсь на другой машине специально запустить его а никакой реакции...

 

Может это просто DownLoader который качает из инета сам энкодер. Вы тикет оформите, туда его скиньте с комментариями, аналитик посмотрит.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#29 AlexTimmi

AlexTimmi

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 08 Июнь 2013 - 00:48

все сбрасывал... и закодированный и оригинал, и все файлы что cureit увидел как опасные... и сам .doc что предшествовал этому всему... и с аналитиком общались еще с обеда... это просто так были мысли вслух и надежда таки найти тот троян... была просто надежда что он не успеет все отработать и его можно будет увидеть сканером и тоже отправить...



#30 Djohny

Djohny

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 08 Июнь 2013 - 12:19

 

отправил через Ваш скрипт вордовский файл-заражатель :))) думаю с ним чуть проще будет?

номер запроса? (тикета)
drweb.com #4127948

 

(пока к сожалению в фильтры почты добавить нечего :((( только 1 адрес и 1 тема , подозреваю что их будет под сотню :((( )

о чём это?

о том что адреса с которых приходят заведомо зараженные письма сразу сбрасывать в карантин не пересылая пользователям, правда в моем списке пока только 3 адреса но с них уже больше 2 десятков писем в карантине валяются.



#31 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 08 Июнь 2013 - 14:11

о том что адреса с которых приходят заведомо зараженные письма сразу сбрасывать в карантин не пересылая пользователям, правда в моем списке пока только 3 адреса но с них уже больше 2 десятков писем в карантине валяются.

я правильно понимаю, что не карантин антивируса имеется ввиду, а средствами почтовой системы письма с опред. адресов сразу идут в "спецхран"? тогда хорошо бы аккуратно вытащить их оттуда и проверить на https://www.virustotal.com/ru/ . Если там есть вирусы, не определяемые drweb, то заслать их в вирлаб.

#32 Trustful

Trustful

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 08 Июнь 2013 - 15:35

 [drweb.com #4128932].

отправил в экзешник который судя по всему делает эту пакость. 



#33 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 08 Июнь 2013 - 15:39

 [drweb.com #4128932].

отправил в экзешник который судя по всему делает эту пакость. 

то файлы у вас не шифрованы? это хорошо.

покажите результат проверки этого файла  на https://www.virustotal.com/ru/ .



#34 Trustful

Trustful

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 08 Июнь 2013 - 15:48

файлы зашифрованы, на вирустотал только 3 из 47 определили что это вирус.



#35 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 08 Июнь 2013 - 15:58

файлы зашифрованы,

и что вы сделали в связи с этим?

на вирустотал только 3 из 47 определили что это вирус.

покажите ссылку!



#36 Trustful

Trustful

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 08 Июнь 2013 - 16:01

Проверил на виртуалке, шифрует все что может.

https://www.virustotal.com/ru/file/cee2fd51cdbf5d6378eb05545308d9525925af007abf255f60912554405ad176/analysis/



#37 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 08 Июнь 2013 - 16:08

Trustful

я хотел сказать вот что

- спасибо за присланный (вероятно) вирус

- если у Вас есть проблема с шифрованными файлами, то в посте 2 сказано, что делать

- если проблем нет - хорошо!



#38 Djohny

Djohny

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 09 Июнь 2013 - 20:54

 

о том что адреса с которых приходят заведомо зараженные письма сразу сбрасывать в карантин не пересылая пользователям, правда в моем списке пока только 3 адреса но с них уже больше 2 десятков писем в карантине валяются.

я правильно понимаю, что не карантин антивируса имеется ввиду, а средствами почтовой системы письма с опред. адресов сразу идут в "спецхран"? тогда хорошо бы аккуратно вытащить их оттуда и проверить на https://www.virustotal.com/ru/ . Если там есть вирусы, не определяемые drweb, то заслать их в вирлаб.

https://www.virustotal.com/ru/file/2ef59af039f4eb7f778886cafce4972d4db297487c730e6cd8e9e75de2323d2a/analysis/1370800282/ уже наконец определяются 9 из 46

 

 


Сообщение было изменено Djohny: 09 Июнь 2013 - 20:54


#39 sava_sava

sava_sava

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 10 Июнь 2013 - 09:20

Проверил на виртуалке, шифрует все что может.

https://www.virustotal.com/ru/file/cee2fd51cdbf5d6378eb05545308d9525925af007abf255f60912554405ad176/analysis/

У меня попался такой же exe-шник

13706033427.exe

Только он успел отработать на одной машине.

Нужен раскодировщик.



#40 meta11

meta11

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 10 Июнь 2013 - 09:55

Всем добрый день.

Принесли мне в пятницу винт из другой организации с такой заразой для лечения. Погуглив нашел на тот момент только 4 ссылки, включая и этот форум. Т.к. лекарства на тот момент небыло и, я так понял, нет и сейчас, то решил поступить по другой схеме. Что бы зашифровать файл, вирус копировал их считывал с винта, шифровал, записывал под новым именем и удалял оригинал. Воспользовавшись прогами по восстановлению удалённых файлов востановил важную инфу, показал юзеру и тот пока остался доволен, то что було нужно восстановилось. 

Пробуйте, удачи.




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых