# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Шифровальщики  >  Все ваши файлы зашифрованы.... - вирус!

## jester7

Сегодня в нашей бухгалтерии обнаружился ВИРУС. Рабочий стол становится красным, на нем ТЕКСТ: ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ.



Как это вирус проникает. (догадки)
Вам приходит письмо.

От: п-п+пTп¦п¦п¦ п¦п+пTя-п+п+п¦п¦ <[email protected]>

Subject: п¦п¦я¦ (ваш почтовый адрес)

внутри письма есть Вордовский документ:
п_п+яLп+я-п+п│я+пTя│ п│п│я│ (ваш адрес).doc

Внутри файла некий программный код:
{\rtf1\ansi\ansicpg1251\deff0\deflang1049{\fonttbl  {\f0\fnil\fcharset204 Calibri;}{\f1\fnil\fcharset0 Calibri;}}
{\*\generator  Msftedit  5.41.21.2510;}\viewkind4\uc1\pard\sa200\sl276\slmu  lt1\f0\fs22\'c4\'e0\'ed\'ed\'fb\'e9  \'e4\'ee\'ea\'f3\'ec\'e5\'ed\'f2 \'e2\'ee\'e7\'ec\'ee\'e6\'ed\'ee  \'ef\'f0\'ee\'f1\'ec\'ee\'f2\'f0\'e5\'f2\'fc \'f2\'ee\'eb\'fc\'ea\'ee  \'e8\'f1\'ef\'ee\'eb\'fc\'e7\'f3\'ff \lang1033\f1 Microsoft Word.\par
\par .............

скорее всего это тело вируса.
вирус запускается при запуске этого документа.
шифрует все офисные документы
после чего вы не можете их открыть ничем.
даже на другом ПК.

НЕ ОТКРЫВАЙТЕ ЭТО ПИСЬМО, ЕСЛИ ОНО ПРИШЛО И ВАМ.
(в интернете решения проблемы не нашел)
П.С.
Архивируйте ваши документы(Архивы ZIP, RAR, запишите документы  на DVD-R) и срочно, особенно если вы на предприятии.

Давайте как-то решать эту проблемку....

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Ilya Shabanov

С зашифрованными документами что-либо сделать не получится, скорее всего они уже потеряны. Постарайтесь восстановить все из резервных копий, если они есть. Платить вымогателям не советую. Тем самым вы: 1. поощряете их на дальнейшие подвиги; 2. нет никаких гарантий, что файлы все таки будут расшифрованы.

p.s. по возможности рекомендую обратится в отдел К МВД РФ, пусть возбудят дело.

*Добавлено через 1 минуту*




> Архивируйте ваши документы(Архивы ZIP, RAR, запишите документы на DVD-R) и срочно, особенно если вы на предприятии.


Для малого бизнеса можно использовать облачные хранилища типа Skydrive и проводить синхронизацию по расписанию.

----------


## jester7

Все это я уже сделал утром.
Все заархивировано
ТРИ   ПК спасти не удалось - документы зашифрованы и очень красиво )))
но вопрос в том, что открывался ДОКУМЕНТ (вирус) как минимум на 5-6 компьютерах, но зашифровалось всего 3 шт )))

*и вопрос*: как заставить Касперского видеть этот вирус ?
ведь и 2011 и 2013 пропустили его даже не пикнув ))))))))))))))))))


П.С. собрался обратиться к знакомому по Борьбе с Киберпреступностью, может он сможет гавнюков немного укусить

----------


## thyrex

> ведь и 2011 и 2013 пропустили его даже не пикнув


*jester7*, сообщение №6 http://forum.kaspersky.com/index.php?showtopic=262128




> С зашифрованными документами что-либо сделать не получится, скорее всего они уже потеряны.


Не уверен в этом для *данной* модификации  :Smiley: 
http://forum.drweb.com/index.php?showtopic=313525

----------


## jester7

точно, именно эти файлики и лежат в корневике:

содержание текстового файла:
====================================
Все важные для Вас данные на этом компьютере (документы, изображения, базы данных, почтовая переписка и т.д.) зашифрованы с использованием уникального криптографического алгоритма.

Без специального программного обеспечения расшифровка одного файла с использованием самых мощных компьютеров займет около года.

Для того, чтобы зашифрованные файлы стали доступны для дальнейшего использования, Вам необходимо связаться со специалистом по e-mail:

*[email protected]*

Время ожидания ответа может составлять до 12 часов.

Переустановка операционной системы не поможет.

Проверка файлов антивирусом может их повредить.

Какое-либо изменение структуры файла не позволит его восстановить.

При поступлении угроз в наш адрес, Ваши данные не будут расшифрованы.

Обращаем внимание, что файлы можно расшифровать только с использованием специалного программного обеспечения, которое есть только у нас.



==================================================  ==============================
============
8B BA A2 B0 B8 9C AB F1 CF C1 B8 9C F5 F4 A0 B6 AE 9C DC EF E1 E6 EB 7B CB C0 A4 B0 E7 DC DE BC A4 BB B7 95 B1 B7 A0 B0 AC D5 DA B6 A7 BA EB B9 8C C4 A2 B0 F3 DD E5 F0 E0 C0 FA 9B B3 B7 CF F0 DB 9D AF BE A7 B3 A6 78 8C BC A3 E9 E4 A1 AB C1 E5 FE C4 9C B1 B4 CE F1 E8 CD EB B7 E7 B9 B0 78 BB FF D6
==================================================  =========================================


На сайте касперского было такое сообщение АналиСтика:

Yury.Parshin
post Today, 14:57
Post #10
Virus Analyst
******

И этот детектируется проактивно.

Файловый детект докрутим. 
=========================

то есть обещают  доделать Антивирус )))

----------


## jester7

Дополнение:
Нашел сегодня файлик C:\program files\windows update\update.exe
Касперский наконец-то его увидел и ЗАОРАЛ ВО ВСЕ ГОРЛО - ОБНАРУЖЕНА ВРЕДОНОСНАЯ ПРОГРАММА....
мдааа, лучше поздно, чем никогда. )))))

а еще, совершенно случайно, удалось найти копии документов Кодированных и не Кодированных
я себе сохранил их для изучения.

а как бы вам на  сайт сюда забросить эти файлы, так же для изучения. ???
вдруг кто сможет разобраться в шифровании !!!!!

----------


## thyrex

Само тело шифровальщика находится в другом файле

----------


## jester7

*НАЙДЕНО РЕШЕНИЕ
НАПИСАНО РАСШИФРОВЩИК
УГАДАЙТЕ КТО НАПИСАЛ: http://forum.drweb.com/index.php?showtopic=313525
молодцы ребята*

==================================================  ==========================
Признаки трояна: имеется файл C:\decrypting.txt содержащий  email [email protected], расширение файлов не менялось. Если хоть  один признак не совпадает - вам в другую тему.


 По состоянию на 11:50 (MSK) 19.04.2013 состояние следующее:
 Распространение началось в районе 15-16 часов по Москве 17.04.2013. *Расшифровка возможна в автоматическом режиме!*


*Рекомендации:*
 Скачать на пораженную машину* ftp://ftp.drweb.com/pub/drweb/tools/te215decrypt.exe* и запустить. Утилита создает КОПИИ файлов, соответственно у вас должно хватать места на дисках для них.



*Если утилита не расшифровала файлы или расшифровала неправильно:*
 Пишите в свою заявку об этом. Если заявки нет - сообщите о проблеме в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ в категорию *Запрос на лечение*.


*Что НЕ нужно делать:*
- переустанавливать операционную систему;
- удалять или модифицировать C:\decrypting.txt
 - использовать самостоятельно без консультации с вирусным аналитиком Dr. Web любые дешифраторы, кроме te215decrypt.exe
 - В случае неудачной расшифровки при помощи te215decrypt.exe пытаться  решить проблему без консультации с вирусным аналитиком Dr. Web
==================================================  =================

19.04.2013
22.10
проверено лично мной на моем пк, не инфицированном
шифрованные документы РАСШИФРОВАЛО !!! УРА!!!!!

п.с.
я положил в корень диска файлы ЗАШИФРОВАННЫЕ
и положил те файлы вируса, Что были на инфицированной машине, а именно:
decrypting.jpg
decrypting.txt

внутри файла decrypting.txt - содержится информация для расшифровки, примерно такая:
==================================================  ==========================================
8B BA A2 B0 B8 9C AB F1 CF C1 B8 9C F5 F4 A0 B6 AE 9C DC F3 E1 E6 EB 7B CB C1 A4 B0 E6 DC DE BD A4 BB B6 95 B1 B4 A0 B0 B1 D5 DA B3 A7 BA F0 B9 8C C4 A2 B0 F3 DD E5 E9 E0 C0 F4 9B B3 B9 CF F0 DF 9D AF B3 A7 B3 B6 78 8C B9 A3 E9 E8 A1 AB C4 E5 FE B6 9C B1 B2 CE F1 F3 CD EB B5 E7 B9 AC 78 BB FC D6 B1 BA 9B AB B6 A1 
==================================================  ==========================================


*
УРААААААААААААААААААААА
Файлы спасены
Спасибо ДРВЕБУ!*


Утилита четко себя показала
в понедельник пойду лечить на работе компы
вот круто будет, когда все получится
потому как девушки в офисе поникли
столько работы пропало



Внимание!
все неинфицированные файлы он шифрует так же , как и вирус )))))
и ложит рядом )))))
то есть   doc, xls, zip, bmp, jpg

----------


## thyrex

*jester7*, эту ссылку я давал еще вчера в сообщении №4

----------


## jester7

:Beer:  :Beer:  :Beer:  :good: 
я помню
спасибо
просто я расширил немного и испытал дешифровщик

----------

