Вирус-шифровальщик [email protected]_encrypt

Printable View

31.07.2013, 10:27
Leonid_vW

Вложений: 2

Вирус-шифровальщик [email protected]_encrypt

Доброго времени дня! 15.07.2013 сабж на 1 ПК зашифровал файлы .doc, .xls, .dbf, .zip, .rar, нек-е мультимедиа. Проверка свежим DrWeb Cure-It! обнаружила в корне С: LdAtJAg4CbIxLPmqtRuK.exe и d9gyHhu9FhLAkvnW1UlG.exe (перенесены в карантин), также в корне был файл Kaк_pacшифpoвaть_фaйлы.txt (прилагается). К расширениям зашифрованных файлов добавлено "[email protected]_encrypt". К сожалению, проверка HiJackThis не проводилась и с правилами составления запросов ознакомиться физически не могли , т.к. на тот день отсутствовало подключение к инету из-за аварии на центральном сервере. AVZ V4.41 и RectorDecryptor.exe от Касперского ничего не нашли, сейчас 3и сутки работает te225decryptor.exe от DrWeb (пока безрезультатно). Примечательно - часть файлов остались незашифрованными. Прилагаем: files.zip - примеры зашифрованных файлов и logs.zip - лог Cure-It! и указанное письмо вымогателей. Ждем помощи![ATTACH]429075[/ATTACH][ATTACH]429076[/ATTACH]
31.07.2013, 10:28
Info_bot

Уважаемый(ая) [B]Leonid_vW[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
31.07.2013, 15:26
thyrex

[url]http://virusinfo.info/showthread.php?t=142195[/url] пробовали?
01.08.2013, 10:54
Leonid_vW

Вложений: 2

Обнаружены источники заражения

Доброго времени дня! thyrex, спасибо за ссылку, очевидно (судя по размеру файла), обновленная версия декриптора, скачан и работает. По сабжу: в корзине почтовика обнаружены письма с вложениями .doc и сопроводиловками согласно посту Никиты Соловьева от 18.07.2013 (примечательно, что обратный адрес одного - бесплатный мейл-сервер, другого - сервис CoolList.com, к-й не работает с 2011 г.8)) DrWeb Cure-It! с базами от 31.07.2013 определил заразу как Exploit.CVE2012-0158.27. Лог и сопроводиловки - logs.7z, зараженные доки - filez.7z (пароль - virus). О результатах работы декриптора отпишемся. Удачи!