Показано с 1 по 20 из 20.

Все документы превратились в архивы. помогите. [Trojan-Ransom.BAT.Agent.u, not-a-virus:RiskTool.Win32.Crypter.hq ] (заявка № 162833)

  1. #1
    Junior Member Репутация
    Регистрация
    09.07.2014
    Сообщений
    12
    Вес репутации
    36

    Все документы превратились в архивы. помогите. [Trojan-Ransom.BAT.Agent.u, not-a-virus:RiskTool.Win32.Crypter.hq ]

    В каждом каталоге, где были файлы с документами, все эти документы превратились в *.rAR архивы и был создан текстовик следующего содержания:

    !!Файлы зашифрованы.txt


    К Вам обращается робот Gulfstream (компьютерная программа, умеющая поддерживать диалог с человеком).
    Все файлы компьютера были заархивированны с паролем. При архивации происходит
    шифрование данных алгоритмом AES. Взломать подобный алгоритм невозможно.
    В программу, которой заархивированны файлы, робот успел вставить свой адрес эллектронной
    почты, чтобы попробовать помочь расшифровать данные.

    Робот Gulfstream не принимает деньги!

    В качестве благодарности за расшифровку Gulfstream любит Биткоины.
    Достать Биткоины просто, для этого надо иметь 10.000 рублей.
    Для разархивации данных надо написать письмо на эллектронный адрес:

    [email protected]

    1. Приложить к письму один любой заархивированный файл небольшого размера;
    2. Приложить файл, который Вы сейчас читаете (Файлы зашифрованны.TxT). Этот файл находится в каждой
    директории, где имеются заархивированные файлы.

    Таким образом, следует отправить два файла на вышеуказанную эллектронную почту.

    В случае успешной расшифровки одного отправленного файла, робот вышлет его Вам обратно.
    Высланный расшифрованный файл будет являться подтверждением того, что робот может расшифровать все файлы.
    В ответном письме с разархивированным файлом робот отправит подробную инструкцию как
    приобрести биткоины. После отправки Биткоинов - Gulfstream отправит Вам пароль и программу,
    которая разархивирует все файлы на компьютере.

    В конце данного письма содержатся непонятные для людей символы. Эти символы нужны для расшифровки,
    не удаляйте их.

    ВНИМАНИЕ! Робот хочет быть полезен людям. Робот запрограммирован таким образом,
    что не имея биткоинов он все равно трудится и пытается разархивировать файлы. Но сначала Gulfstream
    помогает тем представителям человеческой рассы, у которых есть биткоины. В течение 1-24 часов.

    Тем у кого нет биткоинов робот все равно будет стараться помочь. По
    расчетам Gulfstream, он сможет подобрать пароль, которым заархивированны файлы, от 6 до 12 месяцев.
    Как только пароль будет подобран, Gulfstream отправит его всем известным ему
    представителям земной рассы. Gulfstream надеется, что это может произойти и раньше..

    Gulfstream - это робот. В переписке не следует допускать сенсуативного контента. Робот не знает,
    что такое: чувства, угрозы, переговоры, сон, поцелуй, дыхание. Робот может только мечтать об
    этом! Для Gulfstrema не существует способа матереализоваться. Робот просит
    Вас относиться к переписке в узко утилитарном смысле, как к передаче
    информации. На данный момент чувственный контент роботом плохо детерминируется.

    Я буду стараться помочь Вам, Ваш Gulfstream.

    Ответ на Ваше письмо придет в течение 1-24 часов.

    Если почта не отвечает больше 24ч, возможно, почтовый ящик робота сломался
    Существует второй способ связи.
    1) Зайдите на сайт www.bitmsg.me
    2) Зарегистрируйтесь ( нажмите get started today), затем введите Ваш логин,
    e-mail и пароль (пароль вводится два раза для подтверждения правильности
    ввода).
    3) На Ваш почтовый ящик, указанный при регистрации, будет отправлена ссылка
    для подтверждение регистрации.
    4) Пройдите по ссылке. Далее, Вам потребуется создать адрес для переписки -
    нажмите кнопку Create random address. Все, вы можете отправить сообшение.
    Отправить новое сообщение - нажмите кнопку New Message. В разделе to (кому)
    укажите контактный адрес: BM-2cX2Lxu6NugPgyRKuG8AxTg2Z9pgGnKSyb
    Укажите тему сообщения и пишите сообщение. В СООБЩЕНИИ ТОЛЬКО ВАШ email адрес
    по которому с Вами можно связаться. Больше ничего не пишите. Нажимаете кнопку Send Message
    (послать сообщение). Ответ придет в течение 1-24 часов уже на Ваш почтовый ящик.
    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
    Скрыть


    Пример зашифрованного файла во вложении - example.docx.rAR
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) karharot333, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Логи нужны из обычного, а не безопасного режима

    Файл, после запуска которого получили архивирование, сохранился?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    09.07.2014
    Сообщений
    12
    Вес репутации
    36
    Сейчас загружу его в обычном режиме и все выложу снова +файл вирь.

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от karharot333 Посмотреть сообщение
    файл вирь.
    Запакуйте в zip-архив (в имени не должно быть русских символов!!!) с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    09.07.2014
    Сообщений
    12
    Вес репутации
    36
    вложение было в zip архиве, без пароля.
    распаковали архив и запустили файл, находящийся внутри.
    архив с вирусом послал по красной ссылке.
    Изображения Изображения
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    архив с вирусом послал по красной ссылке.
    Не дошел.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  9. #8
    Junior Member Репутация
    Регистрация
    09.07.2014
    Сообщений
    12
    Вес репутации
    36
    Попробовал во второй раз загрузить:
    "
    Результат загрузки
    Ошибка загрузки. Данный файл уже был загружен"

    Переименовал архив - все равно .. "Данный файл уже был загружен"

    - - - Добавлено - - -

    переаплоадил, с вложенным скриншотом почтового окна.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    1. Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
    2. Распакуйте архив с утилитой в отдельную папку
    3. Запустите sitlog.exe
      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
    4. В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
    5. По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
    6. Прикрепите эти отчеты в вашей теме.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  11. #10
    Junior Member Репутация
    Регистрация
    09.07.2014
    Сообщений
    12
    Вес репутации
    36
    Сделал.
    Вложения Вложения

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Файл дошел

    - - - Добавлено - - -

    Новая модификация (а скорее оригинальный код) http://virusinfo.info/showthread.php?t=160942
    Ключ генерируется на основе позиции курсора мыши (показал беглый анализ)
    В ближайшие дни проведу исследование
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    09.07.2014
    Сообщений
    12
    Вес репутации
    36
    Ясно.
    Спасибо за помощь.
    Попробовал перевести деньги с кредитки вам, но она у меня привязана к paypal, пароля которого не помню, а ящик (пароль) утерян. заведу, тогда, другую карту, или переведу деньги на яндекс деньги и оттуда переведу.

    Буду ждать. Что еще делать.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Выполните скрипт в AVZ:

    Код:
    Procedure ScanDir(ADirName : string; AScanSubDir : boolean);
    var FS : TFileSearch;
    begin
    ADirName := NormalDir(ADirName);
    FS := TFileSearch.Create(nil);
    FS.FindFirst(ADirName + '*');
    while FS.Found do
      begin
        SetStatusBarText(ADirName + FS.FileName);
        if FS.IsDir then
         begin
           if AScanSubDir and (FS.FileName <> '.') and (FS.FileName <> '..') then
             ScanDir(ADirName + FS.FileName, AScanSubDir)
         end
        else
          AddToLog(ADirName + FS.FileName + '__MD5= ' + CalkFileMD5(ADirName + FS.FileName)+ '__Size= '+ IntToStr(GetFileSize(ADirName + FS.FileName)));
    
        FS.FindNext;
      end;
    FS.Free;
    end;
    
    begin
    ClearLog;
    ScanDir('C:\tmp', true);
    SaveLog(GetAVZDirectory + 'MD5&Size.txt');
    end.
    После выполнения скрипта AVZ будет сформирован отчет MD5&Size.txt. Выложите файл MD5&Size.txt из папки с авз.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  15. #14
    Junior Member Репутация
    Регистрация
    09.07.2014
    Сообщений
    12
    Вес репутации
    36
    готово
    Вложения Вложения

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Целиком эту C:\tmp папку запакуйте в zip архив с паролем virus и пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  17. #16
    Junior Member Репутация
    Регистрация
    09.07.2014
    Сообщений
    12
    Вес репутации
    36
    готово

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Спасибо. Больше пока помочь нечем. Следите за этой http://virusinfo.info/showthread.php?t=160942 темой.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  19. #18
    Junior Member Репутация
    Регистрация
    09.07.2014
    Сообщений
    12
    Вес репутации
    36
    Ясно.

    - - - Добавлено - - -

    Поставил norton antivirus. понять, как хотя бы предупредить заразу завтра.
    он его даже не видит.
    Изображения Изображения

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    https://www.virustotal.com/ru/file/4...57a0/analysis/

    По ссылке можете посмотреть какой антивирус может детектить этого зловреда.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 20
    • В ходе лечения обнаружены вредоносные программы:
      1. \tmp\bmrsa.exe - not-a-virus:RiskTool.Win32.Crypter.hq ( DrWEB: Tool.Encoder.1001 )
      2. \tmp\moar.exe - Trojan-Ransom.Win32.Agent.ics
      3. \tmp\rsa.bat - Trojan-Ransom.BAT.Agent.u
      4. \viir2\копия искового заявления.cmd - not-a-virus:RiskTool.Win32.Crypter.hq ( BitDefender: Gen:Variant.Kazy.396441 )
      5. \копия искового заявления.cmd - not-a-virus:RiskTool.Win32.Crypter.hq ( BitDefender: Gen:Variant.Kazy.396441 )


  • Уважаемый(ая) karharot333, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите расшифровать документы
      От взлет в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 12.03.2014, 11:50
    2. Ответов: 5
      Последнее сообщение: 05.02.2014, 23:18
    3. Ответов: 11
      Последнее сообщение: 09.10.2013, 22:17
    4. Ответов: 2
      Последнее сообщение: 27.03.2013, 11:38
    5. Ответов: 3
      Последнее сообщение: 29.05.2012, 23:51

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01565 seconds with 20 queries