Перейти к содержимому


Фото
- - - - -

"*.Enciphered" вирус-шифровщик

зашифрованные файлы

  • Закрыто Тема закрыта
25 ответов в этой теме

#1 psizo3552

psizo3552

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 03 Июнь 2013 - 07:34

Подцепил вирус. В каждой папке, в которую захожу, создается текстовый файл следующего содержания:

 

Доброго времени суток!
Ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, архивы, бакепы и прочие файлы) были слиты с жестких дисков и зашифрованны с помощью самых криптостойких алгоритмов.
Восстановить файлы можно только при помощи дешифратора и пароля который в свою очередь знаем только мы.
Подобрать его невозможно, переустановка операционной системы ничего не изменит.
Не один системный администратор в мире не решит эту проблему не зная пароля. (если есть сомнения - дерзайте)
Не советуем изменять файлы, но если решились, сделайте резервные копии.
Пишите нам на Email - xakep@bk.ru
Проясним еще раз, все файлы слиты и зашифрованны, напишите нам в течении трех дней, иначе все данные будут проданны конкурентам (файлы форматов exel, docx, и базы 1с тоже будут переданны) а они в свою очередь найдут им применение.
Письма с угрозами не к чему хорошему не приведут!

 

Файлы на компьютере шифруются, к имени файла добавляется ".Enciphered"

 

Попробовал прогнать утилитой (вроде даже вашей): "te94decrypt" с ключом -k 87. На жестком диске было не очень много места, поэтому половину файлов не расшифровало, для второй половины создались расшифрованные копии. Удалил часть зашифрованных файлов, которые уже были очищены. Подумывал еще раз прогнать утилитой, затем сделать полный поиск системы по параметру "*.Enciphered" и удалить все найденные файлы. Таким образом могу избавиться от всех зашифрованных файлов, получив при этом уже очищенные. Однако беспокоит, создание текстовых файлов с "вредоносным" текстом. =) Есть подозрение, что вирус останется и по новой все заляпает.

 

 

Прикрепленные файлы:



#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 2 714 Сообщений:

Отправлено 03 Июнь 2013 - 07:34

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:
  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

#3 psizo3552

psizo3552

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 03 Июнь 2013 - 07:45

[drweb.com #4118719]



#4 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 03 Июнь 2013 - 09:28

Однако беспокоит, создание текстовых файлов с "вредоносным" текстом. =) Есть подозрение, что вирус останется и по новой все заляпает.

уточните, то есть "создание текстовых файлов" и сейчас продолжается? а собственно шифровка? Вы поняли, как к Вам попал вирус, есть тело вируса?


Сообщение было изменено userr: 03 Июнь 2013 - 09:29


#5 psizo3552

psizo3552

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 03 Июнь 2013 - 10:17

Да, создание продолжается. Шифровка - вроде бы нет, не замечал. Кстати, судя по всему, файлы не расшифровались. Проверить сразу не было возможности - делал очистку из безопасного режима, там ничего не работает. =) А проверил в нормальном режиме - не открывается файл (mp3, jpg etc.). Другими словами все осталось зашифровано, троянчик живет и здравствует.
Как попал троян, не подскажу - ноутбук коллеги, домашний.
 


Сообщение было изменено psizo3552: 03 Июнь 2013 - 10:18


#6 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 03 Июнь 2013 - 10:25

Кстати, судя по всему, файлы не расшифровались.

ничего удивительного. не надо "пробовать прогнать утилитой" без консультации вирусного аналитика! не исключено, что файлы теперь безнадёжно испорчены навсегда.



#7 psizo3552

psizo3552

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 03 Июнь 2013 - 10:30

 

Кстати, судя по всему, файлы не расшифровались.

ничего удивительного. не надо "пробовать прогнать утилитой" без консультации вирусного аналитика! не исключено, что файлы теперь безнадёжно испорчены навсегда.

 

Ничего страшного. Жду консультацию аналитика? Свяжется по почте, как и было обещано?



#8 tro77ll

tro77ll

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 07 Июнь 2013 - 16:50

Так решение будет?



#9 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 07 Июнь 2013 - 16:51

Так решение будет?

См. второй пост. Все понятно что там написано?


Личный сайт по Энкодерам - http://vmartyanov.ru/


#10 tro77ll

tro77ll

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 07 Июнь 2013 - 17:02

предельно. вопрос: "это помогло предыдущему оратору? или поциенту, как Вам угодно"



#11 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 07 Июнь 2013 - 17:03

предельно. вопрос: "это помогло предыдущему оратору? или поциенту, как Вам угодно"

Если вам все понятно вы должны были выполнить что там написано и вам должен был прийти ответ от меня что делать.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#12 tro77ll

tro77ll

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 07 Июнь 2013 - 17:06

хорошо. спасибо, сделаю. скажите, а какова вероятность найти этого шалуна? вы в этом больше понимаете. не поленюсь - съездть.



#13 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 07 Июнь 2013 - 17:09

хорошо. спасибо, сделаю. скажите, а какова вероятность найти этого шалуна? вы в этом больше понимаете. не поленюсь - съездть.

заяву в отдел К.

В Фсб есть аналогичный отдел


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#14 tro77ll

tro77ll

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 07 Июнь 2013 - 17:12

это я знаю. интересен результат, а не процесс)))



#15 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 07 Июнь 2013 - 17:14

это я знаю. интересен результат, а не процесс)))

А Вы пробывали?


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#16 tro77ll

tro77ll

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 07 Июнь 2013 - 17:15

пока нет, далеко от дома. а вот вернусь через неделю - обязательно займусь.



#17 tro77ll

tro77ll

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 08 Июнь 2013 - 11:09

drweb.com #4128659

кажется сделал все правильно.


Сообщение было изменено tro77ll: 08 Июнь 2013 - 11:09


#18 tro77ll

tro77ll

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 08 Июнь 2013 - 14:14

te94decrypt

K ... помог. чем пролечиться дальше, что поставить для защиты? в комплекте шел MC AFEE. 


Сообщение было изменено userr: 08 Июнь 2013 - 14:24


#19 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 08 Июнь 2013 - 14:17

бету доктора 9-ю  :ph34r:


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#20 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 08 Июнь 2013 - 14:25

чем пролечиться дальше

дальше, разумеется, логи по Правилам. см пост 2.





Also tagged with one or more of these keywords: зашифрованные файлы

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых