Файлы пользователя зашифрованы [email protected] [Trojan-Ransom.Win32.Rector.in ]

Суть проблемы: В бухгалтерии произошёл сбой работы программы, при беглом анализе было выявлено, что почти все файлы с расширениями doc, dbf, xls, pdf, jpg получили расширение [EMAIL="[email protected]"][email protected][/EMAIL] и переименованием проблема не решается. Была заражена как машина пользователя, так и сетевой диск к которому этот пользователь имел доступ. К обязательному списку файлов добавляю проблемные файлы для анализа и поиска дешифратора.

Уважаемый(ая) [B]aes222ripn[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

В MBAM удалите все найденное. После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

Логи AVZ и hijackthis обновил, найденное mbam - удалил, повторная проверка затянулась, как только закончится, обновлю лог mbam. Вопрос, когда можно будет получить декриптор, что бы восстановить зашифрованные файлы?

[QUOTE=mike 1;1116522]В MBAM удалите все найденное. После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.[/QUOTE]

Удалил ВСЁ найденное MBAM и высылаю лог. Жду решения о расшифровке файлов пользователя.

Проведите [URL="http://virusinfo.info/content.php?r=290-virus-detector"][B]эту[/B][/URL] процедуру. Полученную ссылку после загрузки карантина [B]virusinfo_auto_имя_вашего_ПК.zip[/B] через [url=http://virusinfo.info/virusdetector/uploadform.php][B]данную форму[/B][/url] сохраните в блокноте под именем VirusDetector и прикрепите его в виде текстового файла в вашей теме.

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].

Высылаю логи, надеюсь получить декриптор для зашифрованных файлов.
Хочу отметить, что проверка производится на относительно чистой машине с подключённым винчестером от заражённой машины и соответсвенно вирусы и зашифрованные файлы находятся на дисках F:\ и G:\, а так же в сетевой папке B:\
Половина из указанных Вами программ в штатном режиме не лезет на эти диски, проверяя только c:\, может мне стоит немного изменить процедуру проверки или попытаться выполнять её запустив заражённый компьютер?

[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B].[*]По окончанию сканирования снимите галочки со следующих строк:
[CODE]
Папка Найдено : C:\Program Files\Yandex
Папка Найдено : C:\ProgramData\Yandex
Папка Найдено : C:\Users\Andrey\AppData\Local\Yandex
Папка Найдено : C:\Users\Andrey\AppData\LocalLow\Yandex
Папка Найдено : C:\Users\Andrey\AppData\Roaming\Yandex
[/CODE][*] Нажмите кнопку [B]"Clean"[/B] и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].

Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].

Файлы без оригинального дешифратора не получится восстановить.

Всё подчистил.

Что нужно, что бы восстановить зашифрованные файлы?
Какова вероятность их расшифровки???
Я в Вашем форуме видел, что кому то Вы помогли восстановить файлы, предоставив дешифратор.
У меня есть честная лицензия KAV, но их тех.поддержка вообще не отвечает :-(

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[QUOTE=mike 1;1117836]
Файлы без оригинального дешифратора не получится восстановить.[/QUOTE]

Нашёл у Вас на форуме, что можно попробовать RectorDecryptor и XoristDecryptor - ректор по крайней мере смог определить наличие зашифрованных файлов, а хорист ничего не нашёл.

[CODE]
16:21:53.0092 0x2350 Trojan-Ransom.Win32.Rector decryptor tool 2.6.24.0 Apr 23 2014 22:48:52
16:21:55.0092 0x2350 ============================================================
16:21:55.0092 0x2350 Current date / time: 2014/05/20 16:21:55.0092
16:21:55.0092 0x2350 SystemInfo:
16:21:55.0092 0x2350
16:21:55.0092 0x2350 OS Version: 6.1.7601 ServicePack: 1.0
16:21:55.0092 0x2350 Product type: Workstation
16:21:55.0092 0x2350 ComputerName: ANDREY-W7
16:21:55.0092 0x2350 UserName: Andrey
16:21:55.0092 0x2350 Windows directory: C:\Windows
16:21:55.0092 0x2350 System windows directory: C:\Windows
16:21:55.0092 0x2350 Processor architecture: Intel x86
16:21:55.0092 0x2350 Number of processors: 4
16:21:55.0092 0x2350 Page size: 0x1000
16:21:55.0092 0x2350 Boot type: Normal boot
16:21:55.0092 0x2350 ============================================================
16:21:55.0093 0x2350 Initialize success
16:24:06.0051 0x252c ProcessDriveEnumEx: Drive B:\ type 4:0
16:24:06.0051 0x252c ProcessDriveEnumEx: Drive C:\ type 3:0
16:24:06.0051 0x252c ProcessDriveEnumEx: Drive D:\ type 3:0
16:24:06.0051 0x252c ProcessDriveEnumEx: Drive E:\ type 5:0
16:24:06.0051 0x252c ProcessDriveEnumEx: Drive F:\ type 2:0
16:24:06.0141 0x252c Found suspicious file: F:\$RECYCLE.BIN\S-1-5-21-2024182186-3713291217-3137328193-1000\$R02JVJ5\[email protected]
16:24:07.0231 0x252c This is Trojan-Ransom.Win32.Rector, but key not found for file: F:\$RECYCLE.BIN\S-1-5-21-2024182186-3713291217-3137328193-1000\$R02JVJ5\[email protected]
[/CODE]

[QUOTE]Что нужно, что бы восстановить зашифрованные файлы?[/QUOTE]
Нужно чтобы кто-то поделился дешифратором для этого варианта.

[QUOTE]Какова вероятность их расшифровки???[/QUOTE]
Шансов мало.

[QUOTE]Я в Вашем форуме видел, что кому то Вы помогли восстановить файлы, предоставив дешифратор.[/QUOTE]
Кому возможно было помочь тем помогли. Здесь пока помочь нельзя.

Вот один из файлов базы данных пострадавших от шифрования, есть пустая и заполненная база, соответсвенно в пустой только названия полей без цифр. Зашифрованные файлы так же есть как с пустой так и с заполненной базой. Надеюсь удастся подобрать ключ по этим файлам.

[QUOTE]Надеюсь удастся подобрать ключ по этим файлам[/QUOTE]
Не удастся потому что используется криптография RSA.

Нашёл у пользователя папку с "иероглифами" (Мои документы) в названии и внутри папка downloads - в которой лежали не зашифрованные файлы. Копии некоторых из этих файлов есть в других папках в зашифрованном виде. Жаль, что это не поможет в расшифровке :(

Нашёл тело вируса Rector - зазиповал с паролем virus и отправил Вам.

Присланный файл уже детектируется как [B]Trojan-Ransom.Win32.Rector.in[/B] в написании дешифратора он не поможет.

[QUOTE=mike 1;1118803]Присланный файл уже детектируется как [B]Trojan-Ransom.Win32.Rector.in[/B] в написании дешифратора он не поможет.[/QUOTE]

Печально, что же, будем ждать...
Меня другое огорчило, кроме Каперского и NOD32 этот вирус практически никто и не детектирует:
[code]
https://www.virustotal.com/ru/file/ceeb7b795328d2767506bafab5c9eccb62b6aac89cd38dcfdc9ed519ea995967/analysis/1400832996/

Программа / Название вируса / антивирусная база
========================================
AntiVir TR/Dropper.VB.Gen2 20140523
ESET-NOD32 Win32/Filecoder.AL.Gen 20140523
Kaspersky Trojan-Ransom.Win32.Rector.in 20140523
Qihoo-360 Malware.QVM10.Gen 20140523
...
эти считают файл чистым от вирусов, хотя вирус только у меня уже более недели, а вообще он древний, я на форумах о нём нашёл записи с 2011 года, а проблема появилась намного раньше.
Avast 20140523
ClamAV 20140523
Comodo 20140523
DrWeb 20140523
Malwarebytes 20140523
McAfee 20140523
McAfee-GW-Edition 20140523
Microsoft 20140523
Symantec 20140523
[/code]

Хочу поделиться радостью, мне ответили ребята из NOD32 - прислали дешифратор, процесс рашифровки во всю идёт - всё расшифровывется без проблем из 5-8тысяч файлов не более 1% битых, в основном .dbf :-)

[code]
Здравствуйте!

В приложенном архиве находится дешифратор (пароль на архив: clean).

Запуск дешифратора необходимо производить через командную строку (Пуск - Все программы - Стандартные - Командная строка, для Windows 7 необходимо запускать командную строку от имени администратора).

Скопируйте файлы из архива, к примеру, в корень диска C:\.

В командной строке введите путь к папке, в которой находится декодер, например: cd c:\ и нажмите Enter.

Использование:

ESETFilecoderWCleaner.exe /b <имя файла или директории>

Примеры использования:
Для обработки одного файла - используйте "ESETFilecoderWCleaner.exe /b C:\the_it.pdf".
Пожалуйста, будьте внимательны и запишите имя файла "как есть" (с прописными и строчными буквами).
Для того, чтобы обработать все зашифрованные файлы, к примеру, в директории C:\photo и всех её подкаталогах, используйте "ESETFilecoderWCleaner.exe /b C:\photo"

Мы рекомендуем попробовать дешифрацию только одного файла, чтобы убедиться, что это правильная версия декодера!
Если версия декодера не соответствует требуемой, файлы будут неправильно дешифрованы.

http://yadi.sk/d/8Ryae0N4S6gNt
пароль: clean
[/code]

Проясню для ясности:

У меня есть корпоративная лицензия на Касперского и там мне сказали, что пока нет дешифратора и соответсвенно ничем не могут помочь. Я обратился на этот форум, к Др.Вебу и в NOD32. Др.Веб не смог определить вирус в присланном файле с вирусом и не отвечал на дальнейшие вопросы ибо помощь только "клиентам". А вот в NOD32 заинтересовались и довольно быстро (спустя примерно неделю после обращения) прислали архив с дешифровщиком и инструкцией по расшифровке. Из примерно 5-8тысяч файлов примерно 1% битых т.е. расшифровщик написал, что расшифровать не удалось и это как правило относилось к базам данных dbf. Расшифровывает очень быстро, результат видно сразу т.е. натравил расшифровщик на диск и следя за процессом проверял расшифрованные файлы.

Повезло вам.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \temp.rar - [B]Trojan-Ransom.Win32.Rector.in[/B][/LIST][/LIST]