# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Шифровальщики  >  Очередной "пиратский" Trojan-Ransom.Win32

## Виталий Васильевич

Добрый день/ночь.

Коллега получила на почту уже известное "постановление суда.EXE", отчего ее файлы известных всем форматов (доки, файлы 1С, картинки) навеки зашифрованы. К расширению файла добавляется [email protected]_XO102. Просят хозяева 2 биткоина, не для себя, а для помощи африканским детям, однако же факты финансовой помощи детям предоставить отказываются и, более того не могут расшифровать мне 1 файл для образца. 

По факту:
1. Сам exe'шник не определяется как инфицированный ни AVP, ни AVZ, ни DrWeb, ни MBAM, ни другими известными мне утилитами (в т.ч. в Safe Mode и LiveCD). На VirusTotal.com показатель выявления составил 16/45, чуть позже пришло письмо из ЛК с идентифицированным Trojan-Ransom.Win32.Crypren.pit
2. Понимаю что видимо расшифровать файлы не получится, но у меня чувство что вирус где то засел, и его поиски уже дело принципа. Тем более комп состоит в сети. Точнее уже состоял.
3. Интересный момент - в проводнике перестал работать поиск. Перелопатил все политики, ковырялся в процессах имеющих отношение к Explorer, но ничего так и не нашел. Все, что посчитал подозрительным сравнивал с норм. файлами, но все везде чисто. Ощущается нехватка опыта в этой сфере)
4. Некоторые файлы частично восстановил через Ontrack EasyRecovery Professional. Ессно 100% нигде не восстановлено(

Сразу оговорюсь - я не ITшник, просто хочу помочь человеку, и весь алгоритм моих действий - заслуга google.ru (спасибо ему!). Некоторые файлы очень ценны и за *рабочий* дешифратор вполне могу заплатить, с последующей закачкой в сеть для общего пользования.

Логи+
Архив с инфицированным "постановлением суда" и архив с примерами зашифрованных документов. Пароли к архивам: virus

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Виталий Васильевич

Ура, сегодняшние базы Др.Вэба детектировали его как *trojan.pws.gamania.7843*

----------


## PavelA

Не надо выкладывать вирусы сюда!!!

Если у Вас лицензионный Доктор Веб, то можно попросить помощи у них в ТП. У Доктора на форуме есть тема посвященная шифраторам, там и узнаете есть расшифровщик для Вас или нет.

----------


## tar

Зловред кидает свой файл в папку Автозагрузка, например, C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Постановление суда.exe
Поиск видимо не работает, что зловред что-то зашифровал в папке Windows

----------


## thyrex

В логах придраться не к чему

----------


## Виталий Васильевич

За выложенный вирус не серчайте, не знал.

Др.Вэб ессно демо, до этого на компе стоял Аваст. Одновременно отсылал файлы в Лабараторию Касперского и Др.Вэб (будучи уже на демо версии), последние до сих пор молчат, но на утро в обновленных сигнатурах вирус детектировался.
Автозагрузка чиста абсолютно. Вчера много раз прогонял сис-му всяческими сканерами и нашел еще 2 его копии в system volume information, хотя восстановление сис-мы отключил сразу, как увидел вирус. Шустрый гад.

- - - Добавлено - - -

Будем искать дешифратор...)

----------


## y_home

Здравствуйте. Удалось ли найти дешифратор?

----------


## regist

> Ура, сегодняшние базы Др.Вэба детектировали его как trojan.pws.gamania.7843


я бы так не радовался, это детект не шифровальщика, а трояна для воровства паролей от игр.

----------


## Виталий Васильевич

я это знаю, но плюс в том что он нашел его скрытые копии в закромах C:\Windows!! Кстати дешифровать файлы пока не получается. С помощью Power Shell подбираю всякие коды, которые выкладывают на Хабре, но пока результатов мало)

а детектировал доктор именно шифровальщика, т.к. я сунул ему зараженный *.exe файл на проверку

----------

