Троян-шифровальщик [email protected], кодовое слово root безе переименования файлов.

Printable View

19.08.2013, 12:40
Maxikiss

Вложений: 5

Троян-шифровальщик [email protected], кодовое слово root безе переименования файлов.

Зараза из письма от Арбитражного суда.
Зашифрованы все документы, изображения, pdf файлы.
Установлен в папке РоссИнфоТех, создавал файлы в папке Local settings / Application data/
Windows XP SP3
Текст вымогателя -
[QUOTE]привет братиш, зловред вредитель хочет тебе напомнить, что ты еще можешь восстановить свои супер пупер ценные файлики
для этого тебе нужно написать на эту почту: [EMAIL="[email protected]"][email protected][/EMAIL] сообщить туда это слово-пароль: root и ждать моего
ответа ::)[/QUOTE]

В архиве DOCS - файлы зашифрованые - цифра 1, бэкап оригинала - цифра 2.

Файл dr.web te102decrypt.exe расшифровывает только эксель со слетом форматирования и возможно чего-то еще
te215decrypt не помогает вообще и не создает брут-файла.

Имеются все файлы вируса. Из письма, и сам установленный вирус.
С компа его удалил вручную и из автозапуска реестра.
19.08.2013, 12:41
Info_bot

Уважаемый(ая) [B]Maxikiss[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
19.08.2013, 13:02
thyrex

Дешифратором для данной модификации пока никто не поделился
19.08.2013, 13:05
Maxikiss

Я так и понял =(
А ктото покупать пробовал у зловреда? Каков результат?
19.08.2013, 13:08
thyrex

[quote="Maxikiss;1030210"]А ктото покупать пробовал у зловреда? Каков результат?[/quote]Для других модификаций жалоб, что [B]именно этот[/B] "бизнесмен" обманул, не встречал
19.08.2013, 13:47
Maxikiss

Virustotal определяет его как:
Trojan.Encoder.288
Gen:Variant.Zusy.46754
20.08.2013, 10:47
Maxikiss

Как уже говорилось:

Можно восстановить документы Word и Excel 2003. Но в экселе слетает форматирование. В Ворде лишь несколько слов в начале файла портятся. Замена первый восьмерок на код D0 CF 11 E0 A1 B1 1A E1 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 3E
И в конце файла куча лишних знаков.

Jpg я не смог воссоздать массово. У разных файлов разные данные, хоть и изменены одинаковые строки.
06.09.2013, 07:29
Maxikiss

Решение найдено касперским. Тема "закрыта".