Шифровальщик [email protected]]_58655179 [Trojan-Ransom.Win32.Rakhni.hi ]

Printable View

05.12.2014, 10:40
The_Immortal

Шифровальщик [email protected]]_58655179 [Trojan-Ransom.Win32.Rakhni.hi ]

Всех приветствую!

Друзья, вот и мы попались... Один из юзеров схватил шифровальщик. И это при неоднократном инструктаже касательно сомнительных писем с вложениями и актуальном KAVWKS. Каким образом попал шифровальщик - непонятно.

К расширению добавляется следующая приписка: [email][email protected][/email]]_58655179

Могу скинуть пример шифрованного файла, а также его здоровый ([B]оригинальную копию[/B]). При необходимости могу несколько таких пар.

Спасибо!

P.S. Логи делались из-под RDP.
05.12.2014, 10:41
Info_bot

Уважаемый(ая) [B]The_Immortal[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
05.12.2014, 12:18
thyrex

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
05.12.2014, 20:34
The_Immortal

[b]thyrex[/b], done.
05.12.2014, 21:13
thyrex

C:\Documents and Settings\metodvr\Application Data\NENEC\windows.exe запакуйте с паролем virus и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

После этого папку C:\Documents and Settings\metodvr\Application Data\NENEC удалите
07.12.2014, 14:30
The_Immortal

[b]thyrex[/b], сделал.
07.12.2014, 16:34
thyrex

С расшифровкой не поможем.

Если есть действующая лицензия на любой из продуктов DrWeb, обратитесь на их форум.
07.12.2014, 17:06
The_Immortal

[b]thyrex[/b], есть действующая лицензия Kaspersky.
А Вы не могли бы подсказать точное наименования зловреда, чтобы сообщить данную информацию в ТП Касперского? МВАМ определил его как "Trojan.CryptoLocker", но это не CryptoLocker, т.к. сервис по расшифровке CryptoLocker'а не определяет следов CryptoLocker'а.
07.12.2014, 17:19
thyrex

ТП Касперского не поможет :(

Это очередная версия [url]http://virusinfo.info/showthread.php?t=156694[/url]
07.12.2014, 17:31
The_Immortal

[b]thyrex[/b], ну я все равно буду пинать Касперского. За что мы (корпоративные клиенты) им платим деньги-то? Почему такое пропускается?
07.12.2014, 17:44
thyrex

[B]Любой[/B] антивирус лишь уменьшает риск что-то подхватить. В большей степени виноваты сами пользователи, совершающие неразумные действия.
07.12.2014, 17:54
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \windows.exe - [B]Trojan-Ransom.Win32.Rakhni.hi[/B] ( BitDefender: Gen:Variant.Graftor.137839, AVAST4: Win32:Trojan-gen )[/LIST][/LIST]