Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Дропер шифровщик данных [Trojan-Ransom.Win32.Xorist.gf ] (заявка № 122897)

  1. #1
    Junior Member Репутация
    Регистрация
    27.07.2012
    Адрес
    г.Могилев
    Сообщений
    10
    Вес репутации
    16

    Дропер шифровщик данных [Trojan-Ransom.Win32.Xorist.gf ]

    Доброго всем дня! Помогите с расшифровкой данных от действий Trojan.Encoder.94
    Прислали по почте жена открыла и вот тебе на.
    Есть как само тело так и файлы:
    Document77.lzh - был прикреплен к письму, в нем :
    Увeдoмление о взыскaние дoлга.exe и Порядок работы с просроченной задолженностью.doc
    При запуске exe-ка дропнулся файл z.exe (я так понимаю сам "гад")
    В архиве приложил 2 doc шифровоных файла.
    Пользовался утилитами от kaspersky не одна не помогла.
    Pass на скачку 123 на архив virus
    Помогите пожалуйста кто в теме
    Собственно вот
    Последний раз редактировалось Никита Соловьев; 27.07.2012 в 16:51.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    325
    Уважаемый(ая) zelibobo, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Если http://support.kaspersky.ru/faq/?qid=208637174 не помог, то и мы не в силах
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  5. #4
    Junior Member Репутация
    Регистрация
    27.07.2012
    Адрес
    г.Могилев
    Сообщений
    10
    Вес репутации
    16
    To bad ? Если Ваши файлы зашифрованы, выложите несколько таких файлов на файлообменник и укажите ссылку на них в своей теме
    Тогда простите.
    А по теме - даже если есть зловред и файлы , есть шанс ждать ? Или напицца и забыцца

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,428
    Вес репутации
    904
    Цитата Сообщение от zelibobo Посмотреть сообщение
    есть шанс ждать
    Есть шанс ждать. Вопрос в другом: сколько ждать.

  7. #6
    Junior Member Репутация
    Регистрация
    27.07.2012
    Адрес
    г.Могилев
    Сообщений
    10
    Вес репутации
    16
    to Никита Соловьев
    На сколько я понимаю Вы сталкивались с подобными зловредами. Я так понимаю z.exe это "шифратор и дешифратор"
    Найденые строки в "теле" :

    00002600 00404000 0 0p3nSOurc3 X0r157, цензура!
    00002643 00404043 0 Файлы успешно расшифрованы!
    00002667 00404067 0 Вы исчерпали лимит попыток - Ваши данные безвозвратно испорчены.
    000026A8 004040A8 0 Пароль введ
    000026B4 004040B4 0 н верно. Нажите OK для начала расшифровки файлов. После нажатия не закрывайте программу до появления сообщения об удачном завершении расшифровки файлов.
    Я не силен в реверс инженерии но надеюсь что кто нибудь поможет.

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,428
    Вес репутации
    904
    Запакуйте этот файл в zip архив с паролем virus и пришлите нам. (Красная ссылка над первым сообщ. в теме).

  9. #8
    Junior Member Репутация
    Регистрация
    27.07.2012
    Адрес
    г.Могилев
    Сообщений
    10
    Вес репутации
    16
    to Никита Соловьев
    Закачал:
    Результат загрузки
    Файл сохранён как 120730_060554_z_5016244271590.zip
    Размер файла 476891
    MD5 fba11bc335742ce323754f41c42c96b9
    Файл закачан, спасибо!

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,428
    Вес репутации
    904
    Цитата Сообщение от zelibobo Посмотреть сообщение
    MD5 fba11bc335742ce323754f41c42c96b9
    Trojan-Ransom.Win32.Xorist.gf

    Утилиту для дешифровки Xorist от Лаборатории Касперского пробовали?

  11. #10
    Junior Member Репутация
    Регистрация
    27.07.2012
    Адрес
    г.Могилев
    Сообщений
    10
    Вес репутации
    16
    XoristDecryptor ничего не находит и не восстанавливает.

  12. #11
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Ваш образец отправлен автору утилиты. В ближайшее время (в ближайшие дни) дешифровка будет добавлена в утилиту. Следите за ее обновлением
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  13. thyrex получил(а) 2 благодарностей за это сообщение от


  14. #12
    Junior Member Репутация
    Регистрация
    27.07.2012
    Адрес
    г.Могилев
    Сообщений
    10
    Вес репутации
    16
    thyrex спасибо Вам огромное!

    {OFF TOP}
    Вчера установил на VirtualBOX XP SP3 хотел посмотреть под Дебагером процесс заражения
    Скопировал несколько видов документов и запустил зловреда, так он наг скрин показывает , в авто-ран ложится,а файлы ну ни-как не трогает. Ну раз в ближайшее время добавят в утилиту - прекращаю колупаться с ним.

  15. #13
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Понятное дело - он детектит запуск на виртуальной машине

    - - - Добавлено - - -

    Запустите утилиту с ключом
    Код:
    -uid NDEBWWOXCAJNGBT
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  16. #14
    Junior Member Репутация
    Регистрация
    27.07.2012
    Адрес
    г.Могилев
    Сообщений
    10
    Вес репутации
    16
    Детектить начал расшифровывать тоже но файлы "битые" на выходе
    Последний раз редактировалось zelibobo; 01.08.2012 в 12:11.

  17. #15
    Kaspersky Lab Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    14.11.2009
    Адрес
    Щелково
    Сообщений
    257
    Вес репутации
    87
    Файлы точно остались в тех же папках, что и на момент шифрования?

  18. Юрий Паршин получил(а) благодарность за это сообщение от


  19. #16
    Junior Member Репутация
    Регистрация
    27.07.2012
    Адрес
    г.Могилев
    Сообщений
    10
    Вес репутации
    16
    100% на своих местах , ничего не ставилось и не удалялось. Т.к смысла в его пригодности нет раб.файлов нет.
    з.ы
    кроме самого тела виря

  20. #17
    Kaspersky Lab Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    14.11.2009
    Адрес
    Щелково
    Сообщений
    257
    Вес репутации
    87
    Выложите 2-3 зашифрованных файла.

  21. #18
    Junior Member Репутация
    Регистрация
    27.07.2012
    Адрес
    г.Могилев
    Сообщений
    10
    Вес репутации
    16
    Вот несколько шифрованных
    http://rghost.ru/39511595

  22. #19
    Kaspersky Lab Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    14.11.2009
    Адрес
    Щелково
    Сообщений
    257
    Вес репутации
    87
    Теперь причина понятна - это семпл не того шифровальщика, который пошифровал файлы. Помочь не можем, пока семпл не поступит к нам.

  23. Юрий Паршин получил(а) благодарность за это сообщение от


  24. #20
    Junior Member Репутация
    Регистрация
    27.07.2012
    Адрес
    г.Могилев
    Сообщений
    10
    Вес репутации
    16
    Так что получается я изначально "пудрю" мозг за другого "гада"
    Простите уважаемые! , но жена сказала что только письмо открыла с "этим" "злавредом".
    Значит в системе уже сидел другой. Пойду дальше смотреть карантин и логи NODA.
    Может найду 1-го.

  • Уважаемый(ая) zelibobo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 20.02.2012, 11:16
    2. шифровщик для ICQ (lite)
      От unclefox в разделе Общая сетевая безопасность
      Ответов: 5
      Последнее сообщение: 08.05.2010, 10:48
    3. шифровщик для ICQ (lite)
      От unclefox в разделе Другие программы по безопасности
      Ответов: 0
      Последнее сообщение: 06.05.2010, 16:57
    4. троян дропер
      От fotorama в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 29.08.2008, 11:29
    5. Шифровщик текста
      От Geser в разделе Технические и иные вопросы
      Ответов: 19
      Последнее сообщение: 11.01.2006, 14:21

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00558 seconds with 22 queries