-
Junior Member
- Вес репутации
- 33
Вирус на основе vbs и batников закриптовал файлы в rar архив [Trojan-Ransom.BAT.Agent.ar, Trojan-Downloader.VBS.Small.lf
]
Добрый день
Может кто поможет с информацией, откуда взять пароль для архивов, в которые бантиком зарарены все файлы?
Судя по всему скрипт полностью не отработал, нашел его тело, но файлы уже криптованы
Завтра буду разбираться с возможностью их восстановления, выкладываю набор, которым они криптовались: вижу что в качестве пароля берется переменная, а откуда - не знаю
пароль на архив 1234, ко всем файлам добавлены расширения txt во избежании запуска
в теле скрипта линк на gamasilk.com
Последний раз редактировалось thyrex; 28.04.2015 в 20:07.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) elite128, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Без шансов для разархивирования
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 33
Сообщение от
thyrex
Без шансов для разархивирования
там же судя по батнику, просто архивирование раром с паролем? не увидел RSA и т д, кроме как в текстовом файле
Или пароли меняются по непонятному алгоритму:
If Exist c:\qtemp\pass (
For /F "Delims=" %%I In (c:\qtemp\pass) Do Set BmpPath=%%~I
)
echo bthyfbrbg67tn87yimjyungtyrfb5rbtn87yn7oymuiyuiynyu ogtynt67>c:\qtemp\pass
del c:\qtemp\pass
c:\qtemp\rar a -dw -p%BmpPath% "%%i".rAr "%%i"
- - - - -Добавлено - - - - -
выслал файлы тела вируса загрузкой через форму
- - - - -Добавлено - - - - -
спс, за
http://virusinfo.info/showthread.php?t=160942&page=8
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- \qtemp\push.vbs - Trojan-Downloader.VBS.Small.lf
- \qtemp\wsystem.bat - Trojan-Ransom.BAT.Agent.ar
-