вирус, который шифрует файлы типов doc, pdf, jpeg, dbf и внешний винт
На днях на почтовый ящик пришло письмо. После открытия письма появилось сообщение:
"БЕЗ ПАНИКИ ГОСПОДА! Салют человеки. Наши быстроходне катера атаковали ваш файловоз. Ваш компьютер взят на абордаж командой Нигерийских пиратов. Ваши файлы зашифрованы нашими морским криптографом Абуджа Бином. Если вы не крикливая политическая проститутка из фракции ЛДПР, то мы готовы обменять вашу драгоценную инфу на жалкие бумажки именуемые бабками. Поверьте бабло, это зло, отдайте его нам. М используем его во благо. Вся африка будет за вас молиться. Алчных и неадекватных типов за борт. Веселым и находчивым скидки. SOS на мыло. [email protected]."
при загрузки системы файлы типа doc, pdf, dbf, jpeg перестали открываться.
Пишу с зараженного компьютера.
Еще вопрос, если я подключал внешний винчестер, когда компьютер уже был заражен и перекинул на него один зашифрованный (зараженный) файл - то заразились ли ВСЕ файлы на винчестере? вирус перекинулся на винчестер и будет распространяться? и как это проверить?
На вичестере вся самая важная информация, и как его можно будет вылечить в случае чего?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) freek, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\InStyle\AppData\Local\Temp\3feca.exe','');
QuarantineFile('C:\PROGRA~3\Mozilla\xgicssb.dll','');
DeleteFile('C:\PROGRA~3\Mozilla\xgicssb.dll','32');
DeleteFile('C:\Users\InStyle\AppData\Local\Temp\3feca.exe','32');
DeleteFile('C:\Windows\Tasks\402m.job','64');
DeleteFile('C:\Windows\system32\Tasks\402m','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(8);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
+ пришлите зашифрованный файл небольшого размера
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Ситуация по винчестеру- все файлы заражены - когда вы пришлете лекарство для моего компьютера я смогу вылечить файлы на винчестере? мне нужно будет их перекидывать с винта на комп?
Спасибо
Последний раз редактировалось freek; 26.10.2013 в 19:07.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DeleteFile('C:\Users\InStyle\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LRGFNZV3\348[1].html','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
В остальном порядок
Дешифратором пока никто не поделился
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
фрагмент переписки со службой поддержки:
Ваши сотрудники прислали мне дешифратор te102decrypt я задал вопрос:
"> Я скачал te102decrypt и куда нужно прописывать эту строку?
Мне ответили :
К примеру, если Вы хотите запустить утилиту с параметрами "-k h49 -e [email protected]_XO100":
1. Скопируйте файл te102decrypt.exe в корень диска C:.
2. Перейдите в меню "Пуск" - "Все программы" - "Стандартные" - "Командная строка".
3. В открывшемся окне командной строки введите команду:
C:\te102decrypt.exe -k h49 -e [email protected]_XO100
и нажмите Enter на клавиатуре."
Я сложил файлы для лечения в папку d:\1 + я туда положил te102decrypt.exe
в командной строке я прописал: d:\1\te102decrypt.exe -k h49 -e [email protected]_XO100
но дешифратор почему то начал расшифровывать все файлы только на диске С, и не расшифровал не одного файла на диске D.
чтобы вылечить файлы в папке d:\1 , какую команду мне нужно прописать?
ОТВЕТ
Команда должна быть такой:
d:\1\te102decrypt.exe -k h49 -e [email protected]_XO100 -path d:\1
( то есть как я понял первый путь это где лежит программа, а второй путь (вконце строки) та папка которую нада вылечить)
восстановление файлов на ~80%
если не указывать "-path" в конце строки, то программа будет расшифровывать диск С, и если вы несколько раз ее запустите, то рядом с зашифрованным файлом будет уже несколько копий восстановленных - имейте это ввиду
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: