-
Junior Member
- Вес репутации
- 53
похоже на работу Trojan-Ransom.Win32.Gpcode
Знакомый, из-за частых разъездов, использует домашний комп для работы (в том числе для удаленной работы с "1С Бухгалтерия"). 8.03.2012 при попытке удаленного подключения к системе (WinServer 2003 Standart), после ввода пароля выдается сообщение "Не удается проверить лицензию компьютера. Служба завершена с ошибкой".
Зайти смог только в безопасном режиме.
Там обнаружил почти в каждом каталоге текстовик "HOW TO DECRYPT FILES.txt". При более подробном рассмотрении понял, что все архивы и документы действительно зашифрованы. Прошелся CureIt'ом, толком ничего не нашел. АВЗ при выполнении скрипта №3 нашел подозрительную программу по адресу "Windows/Cursors/". Пример зашифрованных файлов во вложенном архиве "2012.03.10 Венгерец.rar".
По описанию похож на http://www.securelist.com/ru/descriptions/old313444, но предложенные методы пока не применял.
Шантажисты пока на связь не вышли.
2012.03.10 Венгерец.rar
HOW TO DECRYPT FILES.txt
virusinfo_cure.zip
virusinfo_syscheck.zip
virusinfo_syscure.zip
з.ы. т.к. ехал с гостей, под рукой был только свежий АВЗ и КурИт, завтра выложу логи Hijack
Последний раз редактировалось Vinny_B; 11.03.2012 в 13:55.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Vinny_B, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 53
-
Какое расширение стало у файлов?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
"Печать1.xls.CRYPTOBLOCK"
вот пример, он есть в архиве.
вот он же расшифрованный - http://www.sendspace.com/file/9gqcx5
к сожалению (или к счастью) пришлось заплатить злоумышленнику(ам): времени экспериментировать нет, да и цена хозяина устроила (3000 руб. или 800 гривен.).
надо отдать должное дешифратор прислали быстро. если кому пригодиться, вот ссылка: http://www.sendspace.com/file/o4h7za
Сейчас ищу, откуда мог зверь появиться.
спасибо за внимание.
з.ы. банальное "переименование" помогает только заглянуть в содержимое архивов, но распаковку сделать не дает. соответственно просто переименованные файлы ни коим образом не читаются((
з.з.ы. сейчас запустили дешифратор. пока работает. как отработает отпишусь о результате.
Последний раз редактировалось Vinny_B; 11.03.2012 в 13:56.
