thyrex
29.04.2014, 11:45
Начал распространение очередной шифровальщик
Механизм распространения: вредоносное вложение в электронное письмо с темой о задолженности
Шифруемые файлы:
.jpg, .jpeg, .doc, .docx, .xls, xlsx, .dbf, .1cd, .psd, .dwg, .xml, .zip, .rar, .db3, .pdf, .rtf, .7z, .kwm, .arj, .xlsm, .key, cer, .accdb, .odt, .ppt, .mdb, .dt, .gsf, .ppsx, .pptx
Механизм работы: что-то экзотическое, работающее на уровне службы, завязанной на svchost.exe.
Скорее всего ключ шифрования получается с сервера злоумышленников.
Исследование продолжается...
Известные адреса для связи по поводу дешифратора:
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
В связи с участившимися случаями окончательной порчи файлов после использования неподходящих для расшифровки файлов после этого шифровальщика спецутилит от Лаборатории Касперского (ЛК) и, возможно, неправильного использования спецутилиты от DrWeb обращаю внимание:
RannohDecryptor от ЛК - расшифровывает только самые первые разновидности этого шифровальщика (конец апреля-начало мая). Все более поздние разновидности утилита не дешифрует;
RectorDecryptor от ЛК - совсем не предназначен для дешифровки этого типа, хотя и иногда "пытается" (это ЛОЖНОЕ СРАБАТЫВАНИЕ и не нужно самостоятельно менять настройки сканирования, выбирая опцию Удалять зашифрованные файлы после успешной расшифровки);
te567decrypt от DrWeb - как правильно пользоваться этой утилитой знают только в их техподдержке, обращаться в которую можно при наличии действующей лицензии на один из коммерческих продуктов.
Механизм распространения: вредоносное вложение в электронное письмо с темой о задолженности
Шифруемые файлы:
.jpg, .jpeg, .doc, .docx, .xls, xlsx, .dbf, .1cd, .psd, .dwg, .xml, .zip, .rar, .db3, .pdf, .rtf, .7z, .kwm, .arj, .xlsm, .key, cer, .accdb, .odt, .ppt, .mdb, .dt, .gsf, .ppsx, .pptx
Механизм работы: что-то экзотическое, работающее на уровне службы, завязанной на svchost.exe.
Скорее всего ключ шифрования получается с сервера злоумышленников.
Исследование продолжается...
Известные адреса для связи по поводу дешифратора:
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
В связи с участившимися случаями окончательной порчи файлов после использования неподходящих для расшифровки файлов после этого шифровальщика спецутилит от Лаборатории Касперского (ЛК) и, возможно, неправильного использования спецутилиты от DrWeb обращаю внимание:
RannohDecryptor от ЛК - расшифровывает только самые первые разновидности этого шифровальщика (конец апреля-начало мая). Все более поздние разновидности утилита не дешифрует;
RectorDecryptor от ЛК - совсем не предназначен для дешифровки этого типа, хотя и иногда "пытается" (это ЛОЖНОЕ СРАБАТЫВАНИЕ и не нужно самостоятельно менять настройки сканирования, выбирая опцию Удалять зашифрованные файлы после успешной расшифровки);
te567decrypt от DrWeb - как правильно пользоваться этой утилитой знают только в их техподдержке, обращаться в которую можно при наличии действующей лицензии на один из коммерческих продуктов.