Подхватил два трояна-шифровальщика (*.crypted и *.fklock).
Здравствуйте. Подхватил два трояна-шифровальщика (*.crypted и *.fklock).
*.crypted на диске D зашифровал все xls лежавших в папках, названных лат. символами(папки: buh,doc), а также в корне диска, но не тронул xls лежавшие в папках названных кириллицей (папка: апрель 2013). Помимо всего, были зашифрованы ещё ряд форматов: dbf, doc, dt и др.
В каждой заражённой папке, помимо файлов с данными присутствует два файла:
1.secret_code.txt
Содержимое:R7m9SYQXZbhsBJGklyl8x2AUNJ9DBNFgeYf6FXq wlUlKAtJTkeXziPZEvsfwo6gRS5JLyd4NmfPSnx/71Kajfw==
2.how_to_decrypt!.html
Содержимое:Внимание! Некоторые Ваши личные и рабочие файлы теперь зашифрованы - это факт. Не волнуйтесь и не паникуйте, уверяем, что восстановить файлы - пара пустяков, нужно лишь следовать нашим советам.
НЕ РЕКОМЕНДУЕТСЯ:
Проверять компьютер антивирусом
Переустанавливать операционную систему
Пытаться восстановить данные самостоятельно
Все вышеперечисленные действия - бесполезная трата времени и сил, а так же реальный риск потерять свои данные навсегда.
ЧТО СЛЕДУЕТ СДЕЛАТЬ:
Оставить все файлы как есть
Отключить антивирус, так как он может случайно удалить дешифратор файлов, который мы Вам пришлём
Как можно скорее связаться с нами для покупки пароля расшифровки
В письме добавьте нижеприведённый секретный код, целиком скопированный из этого файла, либо прикрепите к письму текстовый файл "secret_code.txt", который можно найти в каждой папке с зашифрованными файлами
Дополнительные инструкции по оплате и расшифровке Вы получите в ответном письме
Ваш секретный код : KSxG4EBdOnPQ8//7u5B91m74KUL2wqtn8srAkTaIv2qfrF8c6kbZtbvR75pKHHnyr nt3DMsOmlG8ldBxt5KcPneIOrimMtjK53y0uRGlm+zJ7ULe+Hm VddcafnPvRuzknJ9FRjfInBnrsi463oNxXHZb4kmlah/DuGzdrhX3dnM=
В качестве доказательства нашей честности мы платно расшифруем любые 2 файла, которые Вы можете прикрепить в письме. Стоимость расшифровки файлов составляет 50 долларов США.
Сделайте первый шаг и всё будет хорошо. До скорого.
На диске E ситуация несколько иная.
*.fklock зашифровал все файлы rar,jpeg,png и ещё ряду других.
В каждой папке присутствует файл:
КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
Содержимое:
ВНИМАНИЕ!!!
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ, И ЭТО ФАКТ. КОЛ-ВО ПОПЫТОК ВВОДА ПАРОЛЯ -10, ПОСЛЕ ЭТОГО ВОССТАНОВЛЕНИЕ ФАЙЛОВ
БУДЕТ НЕВОЗМОЖНО.
НЕ РЕКОМЕНДУЕТСЯ:
- ПРОВЕРЯТЬ КОМП АНТИВИРУСОМ;
- ПЕРЕУСТАНАВЛИВАТЬ ВИНДОВС;
- ПЫТАТЬСЯ ВОССТАНОВИТЬ ДАННЫЕ САМОСТОЯТЕЛЬНО.
ВСЕ ЭТИ ДЕЙСТВИЯ - БЕСПОЛЕЗНАЯ ТРАТА ВАШЕГО ВРЕМЕНИ И УСИЛИЙ, А ТАКЖЕ РЕАЛЬНЫЙ РИСК ПОТЕРЯТЬ ВСЮ ИНФОРМАЦИЮ НАВСЕГДА. НЕ УСЛОЖНЯЙТЕ СВОЕ ПОЛОЖЕНИЕ, ЛУЧШЕ ПИШИТЕ НА: [email protected]
И ВСЕ БУДЕТ ХОРОШО. ДО СКОРОГО.
============================
Заранее спасибо, надеюсь на Вашу помощь.
Последний раз редактировалось thyrex; 24.11.2014 в 17:06.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Шарик А.В., спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
DrWeb мне более не ответили. Дело в том, что я до конца не уверен, что отправил им именно источник трояная(crypted), более того, возможно дешифратор должен разрабатываться под мою проблему индивидуально, я имею ввиду ключ дешифровки. Вот и решил пойти более официальным что ли путём, мало ли что у меня ещё в системе затаилось.
Отправляю лог uVS 3.85 http://rghost.ru/59236437
пароль для скачивания:01230715
=======================
C:\WINDOWS\TASKS\VSEQ.JOB
C:\WINDOWS\TASKS\SCCN.JOB
Отправил архивом task.zip по средством красной ссылке в топе темы.
- - - - -Добавлено - - - - -
Сообщение от mike 1
Перекачайте uVS по ссылке и сделайте лог версией 3.85.
- - - - -Добавлено - - - - -
Пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Как удалить файлы, который я ранее добавлял из выделенного мне одного мегабайта в учётной записи?
Компьютер перезагрузите вручную. Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над первым сообщением в теме.
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
В главном окне программы нажмите на кнопку "Проверить"
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)
По окончанию сканирования нажмите на кнопку "Отчет".
Сохраните лог утилиты
Прикрепите сохраненный отчет в вашей теме.
Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
Обратите внимание, что утилиты необходимо запускать через правую кн. мыши от имени администратора, на Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
Нажмите на кнопку "Проверить", а по окончанию сканирования поставьте галочки напротив следующих строк и нажмите на кнопку Исправить. Дождитесь окончания удаления.
Код:
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk [C:\iexplore.bat - (Объект запуска не найден)]
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk [C:\iexplore.bat - (Объект запуска не найден)]
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro. (Лог в формате FixerBro_yyyymmdd.txt).
По окончанию удаления нажмите на кнопку "Отчет"
Сохраните лог утилиты
Прикрепите сохраненный отчет в вашей теме.
C:\Windows\system33.exe
Пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
Код:
Обнаруженные ключи в реестре: 7
HKCU\Software\AppDataLow\Software\Crossrider (PUP.Optional.CrossRider.A) -> Действие не было предпринято.
HKCU\Software\AppDataLow\Software\iWebar (PUP.Optional.iWebar.A) -> Действие не было предпринято.
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\BPROTECTSETTINGS (PUP.Optional.BProtector.A) -> Действие не было предпринято.
HKLM\SOFTWARE\DataMngr (PUP.Optional.DataMangr.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Google\Chrome\Extensions\nbmafkdmkkckhggblphicnnhlgljnoje (PUP.Optional.TornTV.A) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\SPDRIVER_1.37.0.871 (PUP.Optional.ShopperPro) -> Действие не было предпринято.
Обнаруженные параметры в реестре: 2
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes|bProtectorDefaultScope (PUP.BProtector) -> Параметры: {0633EE93-D776-472f-A0FF-E1416B8B2E3A} -> Действие не было предпринято.
Обнаруженные папки: 1
C:\ProgramData\ShopperPro (PUP.Optional.ShopperPro) -> Действие не было предпринято.
Обнаруженные файлы: 28
C:\$Recycle.Bin\S-1-5-21-1492031878-3338592243-2562590217-500\$R0QF6YE\sense.exe (PUP.Optional.NSXgen) -> Действие не было предпринято.
C:\$Recycle.Bin\S-1-5-21-1492031878-3338592243-2562590217-500\$RKGAJKJ\iwebar.exe (PUP.Optional.NSXgen) -> Действие не было предпринято.
C:\$Recycle.Bin\S-1-5-21-1492031878-3338592243-2562590217-500\$RNU86G0\iwebar.exe (PUP.Optional.NSXgen) -> Действие не было предпринято.
C:\$Recycle.Bin\S-1-5-21-1492031878-3338592243-2562590217-500\$RH1X0XK\sense.exe (PUP.Optional.NSXgen) -> Действие не было предпринято.
C:\$Recycle.Bin\S-1-5-21-1492031878-3338592243-2562590217-500\$RHDV3HT\Installiwebar_16380\delay.exe (PUP.Optional.GoobZo) -> Действие не было предпринято.
C:\$Recycle.Bin\S-1-5-21-1492031878-3338592243-2562590217-500\$RHDV3HT\Installsense_16380\delay.exe (PUP.Optional.GoobZo) -> Действие не было предпринято.
C:\$Recycle.Bin\S-1-5-21-1492031878-3338592243-2562590217-500\$RTQHOLD\iwebar.exe (PUP.Optional.NSXgen) -> Действие не было предпринято.
C:\$Recycle.Bin\S-1-5-21-1492031878-3338592243-2562590217-500\$RTQHOLD\sense.exe (PUP.Optional.NSXgen) -> Действие не было предпринято.
C:\$Recycle.Bin\S-1-5-21-1492031878-3338592243-2562590217-500\$RRJ954A\sense.exe (PUP.Optional.NSXgen) -> Действие не было предпринято.
C:\$Recycle.Bin\S-1-5-21-1492031878-3338592243-2562590217-500\$RZF5VQX\iwebar.exe (PUP.Optional.NSXgen) -> Действие не было предпринято.
C:\$Recycle.Bin\S-1-5-21-1492031878-3338592243-2562590217-500\$RZZ2DPI\iwebar.exe (PUP.Optional.NSXgen) -> Действие не было предпринято.
C:\$Recycle.Bin\S-1-5-21-1492031878-3338592243-2562590217-500\$RZZ2DPI\sense.exe (PUP.Optional.NSXgen) -> Действие не было предпринято.
E:\$RECYCLE.BIN\S-1-5-21-1492031878-3338592243-2562590217-500\$ROOD0P0.exe (Trojan.Dropped) -> Действие не было предпринято.
C:\Windows\system33.exe (Trojan.Agent) -> Действие не было предпринято.
C:\ProgramData\ShopperPro\config.json (PUP.Optional.ShopperPro) -> Действие не было предпринято.
C:\ProgramData\ShopperPro\database1_0_0.json (PUP.Optional.ShopperPro) -> Действие не было предпринято.
C:\ProgramData\ShopperPro\ShopperPro64.dll (PUP.Optional.ShopperPro) -> Действие не было предпринято.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
В DrWeb я отправлял один единственный файл, с подозрением на вероятный троянец-crypted(Cipher7.exe), но это было ещё до моего полного сканирования системы утилитами сайта virusinfo.info, за исключением uVS, так вот сегодня пришёл ответ:
Перерыли трояна вдоль и поперек: с ошибкой он, так что перебор нашими силами
значительно осложняется. И есть подозрения, что на него могут уйти месяцы
расчетов.
Тлеет надежда, что не Cipher7.exe есть тот злосчастный троянец...
Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
Распакуйте архив с утилитой в отдельную папку
Запустите checkbrowserlnk.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
После окончания работы программы на рабочем столе будет сохранен отчет CheckBrowserLnk.log
Прикрепите этот отчет в вашей теме.
На диске E ситуация несколько иная.
*.fklock зашифровал все файлы rar,jpeg,png и ещё ряду других.
Вопрос техподдержке DrWeb: "А как ситуация с тикетом [drweb.com #5134694]? Там была несколько схожая с моей ситуация."
Ответ: "По заявке 5134694 было отвечено в той заявке. Статус чужих тикетов я не
комментирую."
У Вас есть какие-нибудь сведения касательно данной заявки или связь с её отправителем?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: