Поймали "резюме" с ([email protected])
В результате - файлы зашифрованы, с расширением .good
Возможно ли их расшифровать?
Архив с несколькими зашифрованными файлами выложил на [URL]https://yadi.sk/d/2p9YpZSfX224j[/URL]
Printable View
Поймали "резюме" с ([email protected])
В результате - файлы зашифрованы, с расширением .good
Возможно ли их расшифровать?
Архив с несколькими зашифрованными файлами выложил на [URL]https://yadi.sk/d/2p9YpZSfX224j[/URL]
Уважаемый(ая) [B]plainer[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):
[CODE]
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Users\tdmarket1\appdata\local\temp\svhost.exe','');
DeleteFile('C:\Users\tdmarket1\appdata\local\temp\svhost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
[QUOTE]Возможно ли их расшифровать?
[/QUOTE]
Думаю да.
Логи прилагаю, карантин загрузил.
Вроде похож на вот этот вирус:
[url]http://vms.drweb.com/virus/?i=3997595[/url]
Все перечисленные там файлы (csrss.bat и т.д.) на компьютере есть, кроме svchost.exe - там (был) svhost.exe, (и iconv.dll я пропустил - сейчас проверю) - проверил, есть.
Рекомендуется на всякий случай сделать копии зашифрованных файлов.
[INFORMATION][color="#FF0000"][b]Внимание![/b][/color]
[color="#0000FF"]Данный дешифратор, [U]полученный от злоумышленников с почтой для связи [COLOR="#FF0000"][email protected][/COLOR][/U], предназначен только для пользователя [b]plainer[/b].
[COLOR="#000000"]За возможную неудачную расшифровку некоторых файлов ответственность целиком ложится на лицо, использующее дешифратор, т.к. оригиналов [U]зашифрованных файлов[/U] на компьютере не остается. Поэтому рекомендуется позаботиться о создании резервной копии зашифрованной информации.[/COLOR]
Во избежание [u]окончательной потери информации[/u] использовать данный дешифратор другим пострадавшим [/color][color="#FF0000"][b]не рекомендуется[/b][/color][/INFORMATION]
[url="http://rghost.ru/private/57030680/832d6a752e5f3e4a5033c4ba6db43190"]Дешифратор[/url]
[u]Принцип работы с дешифратором:[/u]
1. Перетащите любой из зашифрованных файлов с расширением [B].gpg[/B] или [B].good[/B] на значок программы.
2. Процесс дешифровки может оказаться длительным, поскольку программа проверяет все доступные диски.
3. Признаком работы программы служит наличие в Диспетчере задач Windows процессов [B]decrypt.exe[/B], [B]cmd.exe[/B] и [B]gpg.exe[/B]. Как только эти процессы исчезли из памяти - дешифровка окончена.
Загрузил дешифратор в виртуальную машину (из соображений здоровой паранойи;)), запустил - работает! Сейчас партиями расшифровываю в ней файлы.
Спасибо!!!
Выполните скрипт в AVZ при наличии доступа в интернет:
[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]