В общем, поймал шифровальщика(((... Собрали мне всю дрянь не AVZ увы, поторопились, но может хватит этого, сам вирус есть. Есть исходные файлы и шифрованные, но они больше 1 Мб каждый. В архиве все по папкам как в компьютере. Вирус уже убили (скорее всего, но от AVZ не откажусь). Нужен дешифратор, помогите, пожалуйста!!!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Андрей Чернов, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Правила я читал, логи AVZ прикрепляю, правда система уже пролечена, не знаю, помогут ли. Ссылка на файлы, исходный и шифрованный - http://files.mail.ru/7A4509E7957542089E2D966B81A298F5. Сами вирусы и лог Hijack в первом посте. Может что-нибудь похожее уже есть? Помогите, пожалуйста.
2. Нажмите Файл - Сохранить как
3. Выберите папку, в которую сохранили ifej7ly2.exe (gmer)
4. Укажите Тип файла - Все файлы (*.*)
5. Введите имя файла cleanup.bat и нажмите кнопку Сохранить
6. Запустите cleanup.bat
ВНИМАНИЕ: Компьютер перезагрузится!!!
Сделайте новый лог gmer
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\!!!Вирус!!!\Tasks.rar', 'MBAM: Trojan.FileLock');
QuarantineFile('C:\!!!Вирус!!!\Tasks.zip', 'MBAM: Trojan.FileLock');
QuarantineFile('C:\!!!Вирус!!!\Tasks\312.exe', 'MBAM: Trojan.FileLock');
DeleteFile('C:\!!!Вирус!!!\Tasks.rar');
DeleteFile('C:\!!!Вирус!!!\Tasks.zip');
DeleteFile('C:\!!!Вирус!!!\Tasks\312.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Объекты реестра обнаружены: 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Папку "!!!Вирус!!!" и все, что в ней находится, я сам создал и положил туда этот вирус. Сам вирус я отправлял вам в первом посте, вы его удалили. Могу еще раз отправить, назвав, как Вы просите, virusinfo_autoquarantine.zip, сути дела это не меняет. С MBAM я разберусь. Спасибо Вам, что после работы онлайн помогаете мне чистить компьютер и тратите свое драгоценное время на то, чтобы обучить меня правилам борьбы с вирусами в операционной системе Windows. Вопрос - как быть с дешифрацией? Реально это или нет? Только брутфорс или что-то еще есть?
Последний раз редактировалось thyrex; 14.01.2014 в 23:36.
Да уж, бюрократии у Вас только поучится. У Вас директор не Билл Гейтс случайно? Прислал запрошенный карантин - Файл сохранён как 140115_050855_virus_52d617e7f1772.zip.. А знаете, я еще умею нажимать кнопку Пуск и запускать другие программы, вот. Готов продолжить обучение на Ваших компьютерных курсах, вы хорошие преподаватели. Дайте хоть программу для брутфорса, я бы уже половину вариантов этого RSA-1024 перебрал для этого приватного ключа!
Антивирусные компании этим заниматься не хотят по причине несоизмеримости затрат времени и результата
Это понятно, они и не будут этим заниматься. Это, собственно не их профиль - дешифрация. Коллекционируйте сигнатуры, это здорово помогает в борьбе с заразой.
И все-таки, подскажите, пожалуйста, куда копать, где искать, ибо криптографией не занимался. Поставлю машинку, пусть молотит. А вдруг мой ключ окажется вначале перебора? Преценденты уже есть, находил на просторах интернета.
Ну, то есть, от вирусов мы вас избавили, досвидания, так получается. Офигенная помощь, ничего не скажешь. Ну, поставьте себе очередной плюсик. А скоко стоит Ваша помощь в окончательном устранении последствий вируса? Бесплатно, я так понимаю, Вы этого делать не собираетесь... Ладно, устрою тендер между Вами и вымогателями. Собственно, все равно кому платить. Можно в личку по почте, она у Вас есть.
Уважаемые помощники! Я глубоко признателен Вам за Ваш труд, за то, что Вы, невзирая на все трудности и перипетии нашей нелегкой жизни, помогаете нам, несведущим пользователям, в борьбе против компьютерных вирусов. Но в состязании с этим вирусом мы с Вами, наверное, проиграли... Прощай мой терабайт данных...
Большая просьба, если Вы где-то как-то когда-то найдете отгадку этого шифра - сообщите мне по почте. Надежда умирает последней.
Если Вы считаете нужным закрыть эту тему - можете ее закрыть. Ну, токо отпишитесь, мол, все пока, мы бессильны, ищем там, думаем, бла-бла-бла... А то я все-таки поглядываю сюда, а вдруг... И почту каждый день трепетно проверяю...
С уважением,
Андрей
Уважаемый(ая) Андрей Чернов, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: