похоже на работу Trojan-Ransom.Win32.Gpcode

Printable View

10.03.2012, 19:52
Vinny_B

Вложений: 5

похоже на работу Trojan-Ransom.Win32.Gpcode

Знакомый, из-за частых разъездов, использует домашний комп для работы (в том числе для удаленной работы с "1С Бухгалтерия"). 8.03.2012 при попытке удаленного подключения к системе (WinServer 2003 Standart), после ввода пароля выдается сообщение "Не удается проверить лицензию компьютера. Служба завершена с ошибкой".
Зайти смог только в безопасном режиме.
Там обнаружил почти в каждом каталоге текстовик "HOW TO DECRYPT FILES.txt". При более подробном рассмотрении понял, что все архивы и документы действительно зашифрованы. Прошелся CureIt'ом, толком ничего не нашел. АВЗ при выполнении скрипта №3 нашел подозрительную программу по адресу "Windows/Cursors/". Пример зашифрованных файлов во вложенном архиве "2012.03.10 Венгерец.rar".
По описанию похож на [URL]http://www.securelist.com/ru/descriptions/old313444[/URL], но предложенные методы пока не применял.
Шантажисты пока на связь не вышли.
[ATTACH]354944[/ATTACH]
[ATTACH]354938[/ATTACH]
[ATTACH]354939[/ATTACH]
[ATTACH]354940[/ATTACH]
[ATTACH]354941[/ATTACH]
з.ы. т.к. ехал с гостей, под рукой был только свежий АВЗ и КурИт, завтра выложу логи Hijack
10.03.2012, 19:53
Info_bot

Уважаемый(ая) [B]Vinny_B[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
11.03.2012, 10:00
Vinny_B

Вложений: 1

[ATTACH]355033[/ATTACH]
11.03.2012, 13:28
thyrex

Какое расширение стало у файлов?
11.03.2012, 13:51
Vinny_B

"Печать1.xls.CRYPTOBLOCK"
вот пример, он есть в архиве.
вот он же расшифрованный - [url]http://www.sendspace.com/file/9gqcx5[/url]
к сожалению (или к счастью) пришлось заплатить злоумышленнику(ам): времени экспериментировать нет, да и цена хозяина устроила (3000 руб. или 800 гривен.).
надо отдать должное дешифратор прислали быстро. если кому пригодиться, вот ссылка: [url]http://www.sendspace.com/file/o4h7za[/url]
Сейчас ищу, откуда мог зверь появиться.
спасибо за внимание.

з.ы. банальное "переименование" помогает только заглянуть в содержимое архивов, но распаковку сделать не дает. соответственно просто переименованные файлы ни коим образом не читаются((
з.з.ы. сейчас запустили дешифратор. пока работает. как отработает отпишусь о результате.