-
Junior Member
- Вес репутации
- 31
Шифровальщик. Help!
Вирус зашифровал важные данные с расширением EnCdfeiPhsdEdfs
Пострадали .xls, .rar, .txt, .doc, .png, .jpg, .bmp и др.
Помогите расшифровать. Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) TaiRaise, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 31
Логи:
virusinfo_syscheck.zip
hijackthis.log
Стоит ли загрузить зашифрованный файл?
-
Вспоминайте, что запускали перед появлением шифрования
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\TaiRaise\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Users\TaiRaise\AppData\Roaming\Browsers\exe.emorhc.bat','');
DeleteFile('C:\Users\TaiRaise\AppData\Roaming\Browsers\exe.emorhc.bat','32');
DeleteFile('C:\Users\TaiRaise\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.
Сделайте лог Check Browsers' LNK
Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 31
Новые логи:
virusinfo_syscheck.zip
hijackthis.log
Check Browsers LNK лог:
Check_Browsers_LNK.log
При загрузке карантина выскочила данная надпись: "Результат загрузки. Ошибка загрузки. Данный файл уже был загружен."
После результата выполнения кода в архиве quarantine.zip ничего нет. В папке avz4/Quarantine также отсутствует какая-либо информация(файлы).
-
Сообщение от
thyrex
Вспоминайте, что запускали перед появлением шифрования
На каком этапе мыслительный процесс?
Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 31
На каком этапе мыслительный процесс?
Скорее всего после установки программы Mkey. Точно не знаю. Заметил, что файлы зашифрованы спустя недели 1.5~2 недели, когда понадобилась программа FL Studio. Теперь открыть ее не могу. Большая часть файлов, включая огромную библиотеку звуков, закодировано вирусом. Файлы очень важны для меня.
Отчет:
ClearLNK-21.12.2015_00-18.log
-
Без тела шифровальщика помочь невозможно
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 31
И что теперь? Делал все по вашим инструкциям.
-
А самого шифровальщика в логах не было
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 31
Разве пункт 5 раздела "Прежде всего" http://virusinfo.info/pravila.html не убирает из логов шифровальщик? Логи же делаются после, а не перед... 81 000 файлов зашифровано...
Последний раз редактировалось TaiRaise; 21.12.2015 в 21:34.
-
А я должен сам догадаться, удалялось ли что-то при проверке перед созданием логов?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 31
Там же написано "к найденному следует применять действие "Лечить", а неизлечимые перемещать или удалять". Все было сделано. Какие теперь советы?
"Обнаружив неизвестный вредоносный файл, утилита XoristDecryptor предложит отправить его на почту [email protected]. Специалисты Лаборатории Касперского изучат присланный файл и обновят базу утилиты XoristDecryptor. При повторном запуске утилита скачает базы и устранит заражение." Ничего не произошло после указания на зашифрованный файл.
Лишь RectorDecryptor нашел 1 зашифрованный файл из 1 400 000 файлов, но потом завис.
Последний раз редактировалось TaiRaise; 22.12.2015 в 01:27.
-
Junior Member
- Вес репутации
- 31
Я вспомнил. Шифровальщик имел имя test.exe и находился C:\Users\TaiRaise\AppData\Roaming. Там же находилась инструкция по разблокировке. Не придав особого значения(думал простой вирусняк) снес его.
Предыстория. Месяц назад компьютер стал жестко тормозить и я решил посмотреть, что у меня стоит в автозагрузке. Там был этот test.exe. В программе Everything нашел путь до этого файла test.exe. Сперва убрал его из автозагрузки, а потом удалил. Комп стал в разы быстрее запускаться.
Пару способов в голове:
1. Короче, восстановление системы вернет вирусняк на прежнее место?
2. Как-нибудь можно восстановить удаленные файлы из корзины? Если да, то мы в выигрыше.
3. Притвориться мошенником. Сыграть роль в таком же стиле. Почитать про типы шифрования и создания троянов-шифровальщиков. Написать пару троянов с таким же расширением и декодеры к каждому.
ps: eсли проанализировать описание к расшифровке, то можно сделать вывод, что мошенник, вероятно, начинающий т.к. на запрос в 500 руб рос. только нищеброд способен. А раз нищеброд, то, скорее всего, не работает нигде. Остается вариант с учебой (школа/универ). Работы нет, родители не дают денег, нужны быстрые способы заработка. Соответственно заморачиваться с шифрованием ему не пришлось, скорее всего, из-за лени. В итоге, вероятно, следует искать быстрый способ создания трояна-шифровальщика.
81 000 файлов, ааа
Последний раз редактировалось TaiRaise; 22.12.2015 в 15:41.