Виталий Васильевич
16.10.2013, 04:09
Добрый день/ночь.
Коллега получила на почту уже известное "постановление суда.EXE", отчего ее файлы известных всем форматов (доки, файлы 1С, картинки) навеки зашифрованы. К расширению файла добавляется [email protected]_XO102. Просят хозяева 2 биткоина, не для себя, а для помощи африканским детям, однако же факты финансовой помощи детям предоставить отказываются и, более того не могут расшифровать мне 1 файл для образца.
По факту:
1. Сам exe'шник не определяется как инфицированный ни AVP, ни AVZ, ни DrWeb, ни MBAM, ни другими известными мне утилитами (в т.ч. в Safe Mode и LiveCD). На VirusTotal.com показатель выявления составил 16/45, чуть позже пришло письмо из ЛК с идентифицированным Trojan-Ransom.Win32.Crypren.pit
2. Понимаю что видимо расшифровать файлы не получится, но у меня чувство что вирус где то засел, и его поиски уже дело принципа. Тем более комп состоит в сети. Точнее уже состоял.
3. Интересный момент - в проводнике перестал работать поиск. Перелопатил все политики, ковырялся в процессах имеющих отношение к Explorer, но ничего так и не нашел. Все, что посчитал подозрительным сравнивал с норм. файлами, но все везде чисто. Ощущается нехватка опыта в этой сфере)
4. Некоторые файлы частично восстановил через Ontrack EasyRecovery Professional. Ессно 100% нигде не восстановлено(
Сразу оговорюсь - я не ITшник, просто хочу помочь человеку, и весь алгоритм моих действий - заслуга google.ru (спасибо ему!). Некоторые файлы очень ценны и за рабочий дешифратор вполне могу заплатить, с последующей закачкой в сеть для общего пользования.
Логи+
Архив с инфицированным "постановлением суда" и архив с примерами зашифрованных документов. Пароли к архивам: virus
Коллега получила на почту уже известное "постановление суда.EXE", отчего ее файлы известных всем форматов (доки, файлы 1С, картинки) навеки зашифрованы. К расширению файла добавляется [email protected]_XO102. Просят хозяева 2 биткоина, не для себя, а для помощи африканским детям, однако же факты финансовой помощи детям предоставить отказываются и, более того не могут расшифровать мне 1 файл для образца.
По факту:
1. Сам exe'шник не определяется как инфицированный ни AVP, ни AVZ, ни DrWeb, ни MBAM, ни другими известными мне утилитами (в т.ч. в Safe Mode и LiveCD). На VirusTotal.com показатель выявления составил 16/45, чуть позже пришло письмо из ЛК с идентифицированным Trojan-Ransom.Win32.Crypren.pit
2. Понимаю что видимо расшифровать файлы не получится, но у меня чувство что вирус где то засел, и его поиски уже дело принципа. Тем более комп состоит в сети. Точнее уже состоял.
3. Интересный момент - в проводнике перестал работать поиск. Перелопатил все политики, ковырялся в процессах имеющих отношение к Explorer, но ничего так и не нашел. Все, что посчитал подозрительным сравнивал с норм. файлами, но все везде чисто. Ощущается нехватка опыта в этой сфере)
4. Некоторые файлы частично восстановил через Ontrack EasyRecovery Professional. Ессно 100% нигде не восстановлено(
Сразу оговорюсь - я не ITшник, просто хочу помочь человеку, и весь алгоритм моих действий - заслуга google.ru (спасибо ему!). Некоторые файлы очень ценны и за рабочий дешифратор вполне могу заплатить, с последующей закачкой в сеть для общего пользования.
Логи+
Архив с инфицированным "постановлением суда" и архив с примерами зашифрованных документов. Пароли к архивам: virus