-
Nikato значит попали на модифицированную версию шифратора.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 38
Сообщение от
mike 1
Nikato значит попали на модифицированную версию шифратора.
Спасибо за то,что пытаетесь помочь! Возможна ли когда-нибудь расшифровка?
-
Сообщение от
Nikato
Спасибо за то,что пытаетесь помочь! Возможна ли когда-нибудь расшифровка?
Если кто-то поделится, то будет возможна. Однако ключи в этой теме больше публиковаться не будут.
-
-
Junior Member
- Вес репутации
- 38
Сообщение от
mike 1
Если кто-то поделится, то будет возможна. Однако ключи в этой теме больше публиковаться не будут.
Делюсь. Пострадали 2 компьютера в офисе. Стоял NOD32 5 версии.
Пришло письмо (можно открыть в MS Word, только ссылку ДОКУМЕНТЫ не нажимайте - по ней похоже и происходит заражение - скачивается архив с трояном-шифровальщиком и запускается. В итоге получаются такие вот файлы: оригиналы+зашифрованные ([email protected])
письмо выглядит примерно так:
image.jpg
и ссылка "ДОКУМЕНТЫ" на вирус: [удалено]
Вот что в журнале NOD32:
Код HTML:
<RECORD>
<COLUMN NAME="Время">
<DATE>26.05.2014</DATE>
<TIME>4:17:23</TIME>
</COLUMN>
<COLUMN NAME="Модуль сканирования">Модуль сканирования файлов, исполняемых при запуске системы</COLUMN>
<COLUMN NAME="Oбъeкт">файл</COLUMN>
<COLUMN NAME="Имя">Оперативная память = Судебный приказ - судебное постановление, вынесенное судьей единолично на основании заявления о взыскании денежных сумм или.exe(3132)</COLUMN>
<COLUMN NAME="Bиpуc">модифицированный Win32/Filecoder.NAM троянская программа</COLUMN>
<COLUMN NAME="Дeйcтвиe">очищен удалением</COLUMN>
<COLUMN NAME="Пoльзoвaтeль"></COLUMN>
<COLUMN NAME="Информация"></COLUMN>
</RECORD>
...
<RECORD>
<COLUMN NAME="Время">
<DATE>23.05.2014</DATE>
<TIME>10:05:26</TIME>
</COLUMN>
<COLUMN NAME="Модуль сканирования">Защита в режиме реального времени</COLUMN>
<COLUMN NAME="Oбъeкт">файл</COLUMN>
<COLUMN NAME="Имя">C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\M2BJYT78\temp[1]\obrazetcs-postanovleniya.jpg</COLUMN>
<COLUMN NAME="Bиpуc">Win32/Filecoder.AL.Gen троянская программа</COLUMN>
<COLUMN NAME="Дeйcтвиe">очищен удалением - изолирован</COLUMN>
<COLUMN NAME="Пoльзoвaтeль">GLAVBUH\Glavbuh</COLUMN>
<COLUMN NAME="Информация">Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\WinRAR\WinRAR.exe.</COLUMN>
</RECORD>
Последний раз редактировалось mike 1; 04.06.2015 в 21:04.
Причина: Вирусная ссылка
-
Junior Member
- Вес репутации
- 38
Сообщение от
mike 1
Если кто-то поделится, то будет возможна. Однако ключи в этой теме больше публиковаться не будут.
архив с зашифрованными файлами и оригиналами: http://vosk.me/virus/files.zip
Зашифрованные файлы имеют вид: "[email protected]"
Заражение происходит через ссылку: [удалено]
Жертве приходит письмо с темой: Cудебный пристав
внутри письма картинка и вышеуказанная ссылка в виде слова "ДОКУМЕНТЫ" - расположенная под картинкой
image.jpg
На компьютере где произошёл инцидент стоит антивирус NOD32 5. В журнале антивируса есть такие строчки:
Код HTML:
<COLUMN NAME="Имя">Оперативная память = Судебный приказ - судебное постановление, вынесенное судьей единолично на основании заявления о взыскании денежных сумм или.exe(3132)</COLUMN>
<COLUMN NAME="Bиpуc">модифицированный Win32/Filecoder.NAM троянская программа</COLUMN>
<COLUMN NAME="Дeйcтвиe">очищен удалением</COLUMN>
COLUMN NAME="Имя">C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\M2BJYT78\temp[1]\obrazetcs-postanovleniya.jpg</COLUMN>
<COLUMN NAME="Bиpуc">Win32/Filecoder.AL.Gen троянская программа</COLUMN>
<COLUMN NAME="Дeйcтвиe">очищен удалением - изолирован</COLUMN>
В общем почистить заразу - антивирус почистил, но шифровальщик всё же успел зашифровать все документы, фотографии и DBF-файлы на компьютере и сетевом диске сервера. Очень надеюсь что появится решение и получится расшифровать.
Последний раз редактировалось mike 1; 04.06.2015 в 21:05.
Причина: Вирусная ссылка
-
Если письмо сохранилось, сохраните его в eml формате, затем упакуйте его в zip архив и прикрепите в следующем вашем посте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 38
-
Junior Member
- Вес репутации
- 39
Сообщение от
mike 1
Если кто-то поделится, то будет возможна. Однако ключи в этой теме больше публиковаться не будут.
Здравствуйте. А как возможно будет узнать о появлении нужного дешифратора?
-
Сообщение от
smart1k
Здравствуйте. А как возможно будет узнать о появлении нужного дешифратора?
Можете спросить в этой теме.
-
-
Junior Member
- Вес репутации
- 38
Команда ESET прислала дешифратор (пароль: clean), но возможно он подходит только к моему варианту ключа шифрования. Попробуйте сначала на одном файле. Рекомендовали распаковать в корень диска. Путь и имя файла нужно указывать полностью с учётом регистра. Либо указать диски как написано в help.txt, что бы расшифровать все файлы. Ключ запуска утилиты /b видимо обязателен. Копии зашифрованных файлов остаются, если нормально расшифрует - их можно потом удалить.
Вымогатель потребовал кстати 1 биткоин за утилиту расшифровки.
Последний раз редактировалось Losthuman; 08.06.2014 в 18:53.
-
Junior Member
- Вес репутации
- 39
Подскажите, для версии lot5011 есть дешифратор?
-
Сообщение от
smart1k
Подскажите, для версии lot5011 есть дешифратор?
Нету
-
-
Junior Member
- Вес репутации
- 44
Сообщение от
mike 1
Alexander Lirmak для вашей версии нашел способ как расшифровать файлы инструкцию получите в конце лечения в разделе Помогите. Ключи которые могут помочь без номера для версии Casino здесь публиковаться мной не будут т.к. есть большой риск убить окончательно файлы.
Добрый День ! У меня похожий случай как у Alexander Lirmak, помогите пожалуйста расшифровать файлы.
-
Сообщение от
timon1007
Добрый День ! У меня похожий случай как у Alexander Lirmak, помогите пожалуйста расшифровать файлы.
Создайте свою тему в разделе Помогите.
-
-
Junior Member
- Вес репутации
- 39
Подскажите, если ли дешифратор для файлов типа casinomtgox.com_lot2004?
-
Сообщение от
Afono4ka
Подскажите, если ли дешифратор для файлов типа casinomtgox.com_lot2004?
Не встречалось.
-
-
Junior Member
- Вес репутации
- 42
Подскажите, если ли дешифратор для файлов типа casinomtgox.com_lot5029
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Доброго времени суток!
Не появилось ли дешифратора для этого вируса?
http://virusinfo.info/showthread.php?t=161575
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-