Показано с 1 по 9 из 9.

Незаконченное шифрование форком Trojan.Encoder.858 (заявка № 194315)

  1. #1
    Junior Member Репутация
    Регистрация
    03.02.2009
    Сообщений
    29
    Вес репутации
    29

    Незаконченное шифрование форком Trojan.Encoder.858

    Здравствуйте. В инструкции не нашел как правильно поступить в моем случае, поэтому прошу задать путь, куда идти.
    Суть произошедшего:
    компьютер словил через почту вирус, владелица заметила (через какое-то время, около нескольких часов), что файлы зашифрованы. Компьютер был отключен от сети. Загружен с флешки. На рабочем столе зашифрованные файлы типа "кашаизсимволов".breaking_bad. Однако, типичного файла README1.txt на рабочем столе нет. Есть только *.bmp с требованием выкупа (черный фон, красные буквы). Тип вируса мной определен по схожим признакам (с небольшими вариациями, к примеру, нет файлов с расширением heizenberg) случая, с которым я обращался в ТП Dr.Web. Там мне сообщили, что это 858 и не поддается расшифровке. В том случае пришлось заплатить 10 000. Прислали decryptor и key.txt. Чем плох этот случай - весь цикл задач не выполнен. Нет никакого требования (README), UID зараженного компа и нет электронки куда писать, чтобы расшифроваться. К тому же, часть файлов не зашифровано (doc, docx). То ли Dr.Web в какой-то момент нарушил работу вируса, то ли руки очередного "гения" неправильно собрали вирус.
    Суть вопроса:
    где такой вид шифровальщиков хранит RSA private key? Есть надежда что он не успел его затереть нулями. Надеюсь не в оперативе
    поскольку компьютер загружен с флешки (в надежде на восстановление ключа), можно ли каким-то образом выполнить требования инструкции?
    Спасибо.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    326
    Уважаемый(ая) qoma, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,790
    Вес репутации
    779
    Сделайте образ автозапуска uVS с Live CD, только образ диска скачайте отсюда: WINPE60_UVS3.86.ISO.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    03.02.2009
    Сообщений
    29
    Вес репутации
    29
    Добрый день. Прилагаю.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,790
    Вес репутации
    779
    Загрузите файл со скриптом отсюда, сохраните на внешний носитель.
    Аналогично созданию полного образа автозапуска для неактивной системы грузитесь с того же носителя, открывайте неактивную систему, далее меню Скрипты -> Dыполнить скрипт из файла...
    Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    03.02.2009
    Сообщений
    29
    Вес репутации
    29
    К сожалению, папка с зоопарком пуста. Высылаю лог (вроде тот что надо).

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,790
    Вес репутации
    779
    Шифровальщик прибит, можно работать в обычном режиме.

    Сделайте лог сканирования МВАМ.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    03.02.2009
    Сообщений
    29
    Вес репутации
    29
    Спасибо. А данные-то не вернуть? Может поискать где-то приватный ключ?

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,790
    Вес репутации
    779
    Попробуйте в "предыдущих версиях", если теневые копии не убиты, поискать.
    WBR,
    Vadim

Присоединяйтесь к нам в соцсетях!

Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

Похожие темы

  1. Ответов: 21
    Последнее сообщение: 11.12.2014, 22:51
  2. Ответов: 17
    Последнее сообщение: 07.12.2012, 00:04
  3. Ответов: 7
    Последнее сообщение: 31.10.2012, 11:57
  4. Новая атака на полностью пропатченное ядро Linux
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 5
    Последнее сообщение: 20.07.2009, 23:14

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00684 seconds with 20 queries