Показано с 1 по 13 из 13.

Зашифрованы документы MS Office, pdf, jpg [Trojan-Ransom.Win32.Agent.ppa ] (заявка № 178356)

  1. #1
    Junior Member Репутация
    Регистрация
    27.02.2015
    Сообщений
    7
    Вес репутации
    7

    Зашифрованы документы MS Office, pdf, jpg [Trojan-Ransom.Win32.Agent.ppa ]

    Добрый вечер.

    Прошу помощи в разборе ситуации, для расшифровки документов.

    Получил письмо от "Екатерина Баулина <kate.baulina@maflcorp.com>", с фишинговым содержимым, в котором открыл файл под именем "досудебная претензия.zip". Ничего не произошло с виду, ноутбук стал тормозить. Через 4 часа заметил, что файлы удалены и подменены зашифрованными копиями типа "имя файла.pdf.6081", в корне каждой папки появился файл "@Files_your_iD 10175.bMp" с требованием отправить 10000р через контакт с email bukashkajet@gmail.com или @mail2tor.com. Требуют прикрепить ID 10175 + зашифрованный файл с цифрами на конце. 26.02 в 18:00 было 88 обращений на virustotal с этим файлом.

    Kaspersky и DrWeb не идентифицировали файл с заразой. 27.02.15 Kaspersky обновился и определил файл как:
    27.02.2015 8:31:23 Удалено троянская программа Trojan-Ransom.Win32.Agent.ieu C:\Users\Расуль\OneDrive\Документы\досудебная претензия.zip//Образец досудебной претензии о наличии задолженности.cmd Высокая

    Плюс к этому были найдены:
    26.02.2015 18:55:29 Удалено троянская программа Trojan-Downloader.Win32.Agent.gzck C:\Users\Расуль\AppData\Roaming\Microsoft\Windows\ Start Menu\Programs\Startup\search.cmd Высокая
    26.02.2015 18:57:54 Удалено троянская программа Trojan-Downloader.Win32.Agent.gzck C:\Users\Расуль\Desktop\Photo.scr Высокая

    Вновь добавленные в систему файлы не шифруются.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    326
    Уважаемый(ая) fdobrotv, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  5. #4
    Junior Member Репутация
    Регистрация
    27.02.2015
    Сообщений
    7
    Вес репутации
    7
    Прикрепил
    Вложения Вложения

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,578
    Вес репутации
    2916
    Папка c:\tempory есть на диске С?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    27.02.2015
    Сообщений
    7
    Вес репутации
    7
    Имеется. C:\tempory
    В ней 2 файла

    SHapk - конфигурационный файл с расширениями файлов для поиска.

    systenn.exe - Kaspersky Trojan-Ransom.Win32.Agent.ppa 20150228 / DrWeb Trojan.Encoder.895 20150228 (0315221D5429A8AB9078F2AC6EE5F2EA MD5)

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,578
    Вес репутации
    2916
    Цитата Сообщение от fdobrotv Посмотреть сообщение
    systenn.exe
    Пришлите по красной ссылке Прислать запрошенный карантин вверху темы в архиве с паролем virus

    Если файл удален, то нужен архив, полученный в письме
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    Junior Member Репутация
    Регистрация
    27.02.2015
    Сообщений
    7
    Вес репутации
    7
    Прислал. Используя карантин по списку AVZ.

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,578
    Вес репутации
    2916
    По предварительным данным (беглый анализ) расшифровка невозможна. Ключ шифрования приходит с одного из серверов злодеев
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. thyrex получил(а) благодарность за это сообщение от


  12. #10
    Junior Member Репутация
    Регистрация
    27.02.2015
    Сообщений
    7
    Вес репутации
    7
    Благодарю. Алгоритм функции шифрования ясен? Могу ли я попробовать расшифровать файл в лоб, перебором ключа? Какая длина ключа может быть?

    Готовой утилиты для перебора ключа под этот алгоритм не имеется?

    Попробую декомпилировать systenn.exe и разобраться в методе генерации ключа с их стороны.

  13. #11
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,578
    Вес репутации
    2916
    Цитата Сообщение от fdobrotv Посмотреть сообщение
    Готовой утилиты для перебора ключа под этот алгоритм не имеется?
    Вчера только первые случаи с ним пошли

    Длина блока, приходящего с сервера, 77 байт.

    Пример блока для одной из разновидностей
    10175 CF72FE205087144A9D3E0D8B8FB1937CD4E3CEA31B28C79AF2A8A6E2A34E4AF7E785buk
    Выделенное жирным - используется в имени файлов с картинками вымогателя
    Выделенное синим - преобразуется (алгоритм не выяснял) и используется как раз в качестве ключа (понятное дело работает на копиях содержимого файла)
    Выделенное красным - преобразуется и используется для шифрования исходного файла перед его усечением до нулевого размера (защита от восстановления исходного файла с помощью спецутилит)
    Выделенное зеленым - дополнительное расширение, которое получают файлы
    Выделенное серым - скорее всего идентификатор сервера, с которого приходил ключ
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. thyrex получил(а) 3 благодарностей за это сообщение от


  15. #12
    Junior Member Репутация
    Регистрация
    27.02.2015
    Сообщений
    7
    Вес репутации
    7
    Что либо стало известно по теме расшифровки? Возможно стоит обратиться в Ваш платный отдел? Исправит ли это ситуацию?

  16. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,551
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\tempory\systenn.exe - Trojan-Ransom.Win32.Agent.ppa ( BitDefender: Gen:Variant.Kazy.305194, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) fdobrotv, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 6
      Последнее сообщение: 12.01.2015, 14:05
    2. Ответов: 5
      Последнее сообщение: 23.08.2014, 20:14
    3. Ответов: 2
      Последнее сообщение: 15.11.2013, 16:49
    4. Ответов: 0
      Последнее сообщение: 22.04.2008, 15:58

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00151 seconds with 23 queries