-
Junior Member
- Вес репутации
- 56
Незаконченное шифрование форком Trojan.Encoder.858
Здравствуйте. В инструкции не нашел как правильно поступить в моем случае, поэтому прошу задать путь, куда идти.
Суть произошедшего:
компьютер словил через почту вирус, владелица заметила (через какое-то время, около нескольких часов), что файлы зашифрованы. Компьютер был отключен от сети. Загружен с флешки. На рабочем столе зашифрованные файлы типа "кашаизсимволов".breaking_bad. Однако, типичного файла README1.txt на рабочем столе нет. Есть только *.bmp с требованием выкупа (черный фон, красные буквы). Тип вируса мной определен по схожим признакам (с небольшими вариациями, к примеру, нет файлов с расширением heizenberg) случая, с которым я обращался в ТП Dr.Web. Там мне сообщили, что это 858 и не поддается расшифровке. В том случае пришлось заплатить 10 000. Прислали decryptor и key.txt. Чем плох этот случай - весь цикл задач не выполнен. Нет никакого требования (README), UID зараженного компа и нет электронки куда писать, чтобы расшифроваться. К тому же, часть файлов не зашифровано (doc, docx). То ли Dr.Web в какой-то момент нарушил работу вируса, то ли руки очередного "гения" неправильно собрали вирус.
Суть вопроса:
где такой вид шифровальщиков хранит RSA private key? Есть надежда что он не успел его затереть нулями. Надеюсь не в оперативе
поскольку компьютер загружен с флешки (в надежде на восстановление ключа), можно ли каким-то образом выполнить требования инструкции?
Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) qoma, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
-
-
Junior Member
- Вес репутации
- 56
-
Загрузите файл со скриптом отсюда, сохраните на внешний носитель.
Аналогично созданию полного образа автозапуска для неактивной системы грузитесь с того же носителя, открывайте неактивную систему, далее меню Скрипты -> Dыполнить скрипт из файла...
Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
-
-
Junior Member
- Вес репутации
- 56
К сожалению, папка с зоопарком пуста. Высылаю лог (вроде тот что надо).
-
Шифровальщик прибит, можно работать в обычном режиме.
Сделайте лог сканирования МВАМ.
-
-
Junior Member
- Вес репутации
- 56
Спасибо. А данные-то не вернуть? Может поискать где-то приватный ключ?
-
Попробуйте в "предыдущих версиях", если теневые копии не убиты, поискать.
-