Добрый день! Пришло письмо от "Сбербанк Онлайн" в письме находился вирус который зашифровал все документы с расширениями docx, xlsx, txt, jpg и т.д.
Несколько зараженных документов свернул в архив и выложил на файлобменнике.
Ссылка: http://zalil.ru/33326349
Нужна Ваша помощь в расшифровке. Но поскольку файлов очень много, то я так думаю что расшифровщик.
С Уважением, Вячеслав.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Numark86, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
К сожалению Ваш ответ не помог решить проблему. Ибо пароль вводить не куда, так как программа lockdir.exe отсутствует. У меня есть письмо от лже-Сбербанка, подскажите на какой адрес можно его переслать для исследования. В нем ссылка на архив Sber_statics.zip в архиве файл с вирусом Sber_statics.scr (файл заставки). И после его открытия все файлы зашифровались. Просмотрел этот файл Far`ом и обнаружил что в нем содержатся несколько файлов, такие как "напоминание.txt", "ttt.jpg", "codec2609.exe", "svchost.exe", "STATS.xls". Проверка антивирусом Nod32 ничего не обнаружила. Слишком он уж свежий. Дата файлика 26.05.2012. Почтовый адрес злодея для отправки письма помощи: [email protected]
- - - Updated - - -
Залил запрощенный карантин
Результат загрузки
Файл сохранён как 120528_195734_Sber_statics_4fc3d8ae1f7d0.zip
Размер файла 778884
MD5 a6c72c9b6fa80e24e714e0592979dca3
Немного информации в помощь Вам! На компьютере стоял Антивирус Nod32. Удалил его и поставил пробную версию Антивируса Касперкого и натравил на этот самый файлик с вирусом - sber_statics.scr. Результат меня просто шокировал. В одном файле Касперский обнаружил сразу 3 вируса:
1.Trojan-Ransom.Win32.Rector.fh
2.Trojan-PSW.Win32.Tepfer.yyh
3.Trojan-Dropper.SIM.Reftar.a
Скриншот прикрепил.
- - - Updated - - -
И теперь самый главный вопрос! Можно ли вернуть рабочее состояние моих файлов или все безнадежно?!
В одном файле Касперский обнаружил сразу 3 вируса:
1.Trojan-Ransom.Win32.Rector.fh
2.Trojan-PSW.Win32.Tepfer.yyh
3.Trojan-Dropper.SIM.Reftar.a
Третий детект - это детект на сам файл sber_statics.scr, который является SIM-архивом. После запуска из него извлекается три файла:
- безобидный файл Excel с некой левой информацией
- svchost.exe - Trojan-Ransom.Win32.Rector.fh - сам шифровальщик RectorRSA (файл накрыт с помощью Obsidium, на виртуалке не запускается). В свете написанного в скобках получить информацию, необходимую для расшифровки расшифровать своими силами не представляется возможным
- codec2609.exe - Trojan-PSW.Win32.Tepfer.yyh - воровайка паролей от почты, аськи и т.д.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Все ясно, спасибо большое за объяснение! Тогда возникает вопрос!? Но перед ним ещё немного информации для поиска истины и решения данной проблемы... Судя по постам от этой дряни народу пострадало нереально много!
При заражении машины и некачественным поведением со стороны Антивируса Nod32 со свежими базами на момент заражения, который все это дело спокойно пропустил (пусть все люди которые прочитали мой пост знают, что данный антивирус немного отстал от жизни, в отличие от Касперского, который рассказал и показал мне в подробностях какая дрянь накрыла все мои файлы - скриншот прикреплен в сообщении выше!) в комп была вставлена флеш-карта, с ещё более важной информацией, содержащая все те же файлы: docx, xlsx, jpg, pdf..., одним словом все пользовательские файлы для работы. С данной флешкой мы обратились в одну из компаний по восстановлению данных, и буквально через пять минут нам вынесли 3 расшифрованных из 40 зашифрованных файлов, которые благополучно открылись. Что не может не радовать. Но за остальные 37 мы возьмем 5000 руб. А когда мы сообщили программерам что всего зараженных файлов на 30 гигов, они сделали нам коммерческое предложение на изготовление программы-расшифровщика за скромное вознаграждение в 15000 руб. Как они это сделали я могу только предполагать: открыли hex, увидели что в каждом файле одни и те же байты в конце каждого файла, и заменили определенные байты на ???!!! ..., после чего все прекрасно открылось. Красавчики, вопросов нет.
А теперь сам вопрос: как же у них так это получилось, да и ещё за такой короткий промежуток времени, а Ваш ответ я понимаю так, что без ключа к алгоритму RSA сделать невозможно?
P.S.: Зараженный компьютер стоит мертвым грузом, ждет лекарства, а все тесты на излечения ведутся на специально зараженном ноутбуке. Где с начало был установлен Nod32, далее скачен с почты файл пакостник (сообщение с вирусом от Сбербанка) и открыт для заражения. Затем была произведена установка пробной версии Каспера 2012 и как только базы обновились случилось чудо...! Сразу понеслись оповещения о неком го*не на моей тачке, после чего все успешно удалилось и переместилось в хранилище.
Жду ответа и благодарю за помощь всех, кто поможет в решение моей проблемы!!!
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: