Словила девушка на работе(турфирма), отзвонилась поздно. Как стало понятно, что вирус, комп удалённо погасил сам. Текст стандартный,
"Ваши файлы зашифрованы надежным криптостойким алгоритмом.
Использование сторонних утилит может повредить файлы, сделав их непригодными к расшифровке.
Для последующей расшифровки оставьте компьютер в текущем состоянии.
Максимально время хранения вашего ключа составляет 2 суток. (до 29.11.2013)
Любые обращения после 29.11.2013 будут игнорироваться.
E-Mail: [email protected]
В теме письма укажите ваш ID:808413723951
Действия, которые могут привести к удалению ключа:
- Запрос платежных реквизитов без последующей оплаты
- Оскорбления
- Угрозы"
Перелопатил примерно 2/3 данных с диска Д.
Дальше пошли приключения: прогнал не подключая к сети через hijackthis и оба теста AVZ
Логи чистые, но напрягла запись "C:\Users\Администратор\AppData\Roaming\Microsoft\ Windows\Start Menu\Programs\Startup\_uninst_85907298.lnk". Параллельно, зачистил Тэмпы, изменения в System32, папки System Volume Information. (Естественно, через Live-CD и бэк-апя, всё есть в архивах)
Посмотрел через HEX-Editor на этот самый lnk, увидел много интересного. По моему скромному мнению, это или активатор уже внедрённых процессов, или сам вирус, который ползёт в system32 и использует системные ресурсы под себя.
Ну да бог с ним.
Помимо всего прочего, решил проверить теорию о том, что после шифрования, вирус стирает "первоисточник". Прогнал комп GET NTFS Back-ом, увидел примерно треть файлов именно в удалённом состоянии. Рискну предположить, что механизм так и построен, но, впоследствии, вирус за собой "подчищает", и уже хрен что программно вытащишь.
Ещё одним неприятным сюрпризом оказались перелопаченные исходные файлы Thunderbird и Firefox, переносил вручную, профилями, пропихивая на новую машину через запуск с ключом -p.
В общем, когда уже всё вытащил и слегка подчистил, уже начал делать всё по науке, снова hijackthis и оба AVZ, но уже с подключением к сети, так что не удивляйтесь, что 2 подряд
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) gdtaipan, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Вопрос на засыпку: как мне подсунуть вторую часть логов + нужен ли архив с самим зловредом?
- - - Добавлено - - -
Всё, что может понадобится "из-под карантина", могу прислать архивами, так что логами можете не заморачиваться, напишите откуда что надо, усё выдам в лучшем виде)
Да я в курсе, что ничего плохого в логах нет Вот тут интереснее
system32_271113.rar - 2 невнятных файла с датой 27.11.13 из system32 temp_user_с_датой_271013.rar - То же, но относящееся к пользователю TempАдмина.rar - Там всего 3 файла, но тоже с датой 27.11.13, хотя под админом никто и не заходил ВесьTempUserкроме271113.rar - вообще, всё, что есть в папке Temp пользователя ЯрлыкнаВирусизавтозагрузкиадмина.rar - тот самый вирус "C:\Users\Администратор\AppData\Roaming\Micros oft\ Windows\Start Menu\Programs\Startup\_uninst_85907298.lnk". зашифрованные фото.rar - 6 зашифрованных файлов Исходные фото - 6 исходных файлов текстовый файл контакты вирусописателя.rar - тот самый "Что делать"
А Вот здесь уже вторые логи, с полключённым инетом и прочей радостью.
Навели с других форумов, но пусть и тут будет:
Вирус распространяется через почту с вложением в виде вордовского файла.
В случае с этим чёртовым nochance, это файл "Резюме".
Кстати говоря, могу его вечером личкой прислать, в запароленном архиве, ессесна.
Проверил по своим курицам: В один офис пришло такое письмо. Они и сами посмотрели, и начальству переправили. У начальства этот файл не запустился. Доброе начальство отправило этот файл заму. В итоге, у зама всё посмотрелось в лучшем виде...
В общем, минус 2 компа. 1 заменил, второй сегодня за-изолировал.
А вот и готовое решение. Проверил на себе, всё расшифровалось!
Берём дешифратор от докторвеба
В зашифрованных ищите любой файл с расширением .doc
(Если такового не имеется, то это решение Вам не подойдёт!)
Запускаете дешифратор с ключами -m 4 (или в ярлыке прописываете, через пробел после te263decrypt.exe, или через выполнить/Run указываете)
Дешифратор у вас попросит указать зашифрованный doc-файл. После того, как вы таковой ему укажете, начнётся процедура подбора паролей. Занять она может до 2-х суток. Как только дешифровщик находит нужное сочетание пароля, он начинает поиск и дешифрацию зашифрованных таким образом файлов на всех подключённых локальных дисках.
При дешифрации сохраняются исходные зашифрованные файлы, просто к оным добавляется расшифрованный вариант.
Контролировать ничего не нужно, вся процедура проходит в автоматическом режиме.
По окончании, проверяете ваши файлы на целостность и пригодность, да и удаляете все эти nochance к чёртовой матери, если всё сошлось.
Уважаемый(ая) gdtaipan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Сообщение от gdtaipan
