Вирус зашифровал файлы, расширение 4rU960. Вирус TR/Dropper.Gen и TR/Dropper.Gen2

**Николай Василенко** · 07.12.2015, 07:28

Доброго времени суток.
Вчера подхватил заразу, скачав и запустив без антивируса файл.
Далее во всех папках файлы с информацией (текст, видео, картинки) зашифрованы и переименованы с расширением 4rU960

Проверил файл авирой, он выдал следующее:--> Setup.exe
[1] Тип архива: RAR SFX (self extracting)
--> CMT
[ОБНАРУЖЕНИЕ] Троянская программа TR/Dropper.Gen
[ПРЕДУПРЕЖДЕНИЕ] Инфицированные файлы в архивах не могут быть вылечены
--> klmn.exe
[ОБНАРУЖЕНИЕ] Троянская программа TR/Dropper.Gen2
[ПРЕДУПРЕЖДЕНИЕ] Инфицированные файлы в архивах не могут быть вылечены

Во всех папках есть файл КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt с текстом:
Ваши файлы зашифрованы! Для того, чтобы расшифровать файлы вам необходимо написать на емейл: [email protected] или [email protected]
В письме вам необходимо сообщить нам вашу страну проживания и ваш ID.
Услуги по расшифровке платные. Стоимость составляет 10$. Просьба не писать, если вы не собираетесь оплачивать.
На проверку вы можете прислать нам 2-3 небольших зашифрованных файла (до 3 мегабайт каждый) и мы их расшифруем совершенно бесплатно.
Ваш ID x1492643

Деньги отдавать не хочется принципиально. Лучше отдам их на развитие этого проекта.

Ссылка на файлы:
[удалено]
вирус архиве copy.rar
пароль virus1

Заранее спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 07.12.2015, 07:29

Уважаемый(ая) Николай Василенко, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 07.12.2015, 07:42

Вечером посмотрю

**Николай Василенко** · 07.12.2015, 08:07

Сообщение от thyrex

Вечером посмотрю

Спасибо большое! Буду ждать. Постараюсь очень оперативно отвечать на ваши вопросы.

С уважением, Николай.

**thyrex** · 07.12.2015, 22:38

Проверяйте ЛС

**Николай Василенко** · 08.12.2015, 06:38

Да, вижу. Спасибо. Сейчас буду пробовать.

- - - - -Добавлено - - - - -

Все работает!
Файлы расшифровывает без проблем. Дешифратор изначально не запускался, оказывается нужно было запустить от имени администратора.

Спасибо огромное!

- - - - -Добавлено - - - - -

Есть один нюанс. При восстановлении нескольких файлов, некоторые файлы не расшифровываются почему-то. Где-то помню писали, что это из-за ограничения памяти. Было бы неплохо, если бы программа выдавала ошибку, в случае переполнения памяти.

**thyrex** · 08.12.2015, 08:19

Она и выдает

Пришлите примеры невосстановленных файлов

**Николай Василенко** · 08.12.2015, 09:59

Файлы отправил, смотрите личное сообщение.

По поводу ошибки, то значит не так выразился.
Было бы хорошо, если программа прекратит расшифровку, в случае возникновения ошибки. А то она в конце выдает ошибку, когда уже все файлы проштудировала. Вот и пойми, что ей надо и что она полезного успела сделать

**thyrex** · 08.12.2015, 17:12

Программа просто прекращает дальнейший поиск и расшифровку, не проверив все файлы. При этом кнопка Удалить мусор прекрасно работает

Простой перезапуск (послке удаления мусора) - и процесс пойдет с того места, где застопорился

**Николай Василенко** · 08.12.2015, 17:25

Суть в том, что у меня программа не прекратила дальнейший поиск и расшифровку. Хотя может и прекратила расшифровку, однако файлы переименовала.

Тоесть, как я понимаю, нужно запускать программу несколько раз до тех пор, пока последний файл в папке не будет расшифрован, так?
Иными словами: программа делает копии файлов и расшифровывает. Потом на некотором месте перестает это делать, однако продолжает делать копии. В итоге после работы программы получаем часть копий зашифрованных файлов, часть расшифрованных. Нужно нажать кнопку "Удалит мусор" не закрывая программу, а потом повторно запустить, программу. Программа игнорит уже расшифрованные файлы и начинает с того места, где закончила расшифровывать и просто делала копии, так?

**thyrex** · 08.12.2015, 19:28

Сообщение от Николай Василенко

Хотя может и прекратила расшифровку, однако файлы переименовала.

Переименовываются только файлы, которые прошли расшифровку до момента появления ошибки. Далее поиск останавливается и никаких изменений не вносится.

По каким-то причинам в результате самого шифрования некоторые файлы оказываются зашифрованы дважды, а значит после первого прохода дешифратора остаются зашифрованными, но дешифратор их переименовал. Корректность расшифровки для этого шифровальщика проверить невозможно

**CyberHelper** · 08.12.2015, 19:38

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. \virus\coffeecup html editor 12.rar - Trojan-Downloader.Win32.Upatre.fmpl

Вирус зашифровал файлы, расширение 4rU960. Вирус TR/Dropper.Gen и TR/Dropper.Gen2 (заявка № 194009)

Опции темы