Вложений: 1
Вирус зашифровал файлы и сменил расширение на "crypted000007"
Здравствуйте, вчера утром пришло на почту письмо с адреса [I][email protected][/I] с вложенным html-файлом с именем [I]ОПЛАТИТЕ ШТРАФ 90656133[/I]. В файле был iframe со ссылкой на insurancests(dot)com. При открытии html-файла происходит скачивание [I]Квитанция для оплаты.js [/I]Вот ссылка на проверку этого файла на virustotal [I]- [/I][URL]https://www.virustotal.com/ru/file/346fdd6a7863e2db154434b6171b4309ce5c8066ae7f6930e005ae9b221da7a4/analysis/1502215736/[/URL]
На компьютере стоял актуальный Avast который в день заражения вирусом сохранил в карантине несколько exe-файлов во время примерное когда открыли письмо и запустили js-файл который видимо загрузил вирус и запустил его.
Многие (или все) файлы, документы и т.п. были зашифрованы (или только замаскированы под то, что они зашифрованы). Имена файлов имеют следующий вид [I]92glZrpCWdC3EEb-SLytej9mf0SJq3w0NDi+MX0Q+8EgCaCuVe3C5rDG5rmiBUF1zZY7An-e9X5h1OM7dc9O+7W673tdTeuGh6jK489pA1w=.49C3DD9FC140298C28E5.crypted000007
[/I]
На рабочем столе и в некоторых папках были созданы файлы [I]README1.txt [/I](причем не один а несколько с разными цифрами после readme в названии). Вот содержание одного из таких readme:
[SPOILER]Bаши фaйлы былu зашифрoваны.Чmобы рacшифpоваmь их, Вaм нeoбxoдuмo отправuть koд:
49C3DD9FC140298C28E5|0
нa элекmронный адреc [EMAIL="[email protected]"][email protected][/EMAIL] .
Дaлee вы пoлyчume вcе необxoдимые инcmрykцuu.
Попыmkи рacшuфрoвать caмocтoятeльнo нe nривeдym ни к чeму, kромe бeзвoзвpатной пoтepи uнфopмaцuи.
Еслu вы всё жe хоmuте пoпытamься, тo прeдварuтельнo сделайmе pезeрвные кoпuи фaйлoв, инaче в cлyчае
ux изменeния paсшифpoвkа cmaнеm невoзмoжнoй нu пpи кakих условияx.
Ecли вы нe пoлyчили oтвеma пo вышеукaзаннoмy адpеcу в тeченuе 48 чаcoв (и moльkо в этoм cлучae!),
вoспользуйmecь фopмой oбратной cвязu. Эmо можнo cделamь двумя cпоcoбами:
1) Сkaчайmе и устaнoвиme Tor Browser пo ccылke: [URL]https://www.torproject.org/download/download-easy.html.en[/URL]
В aдрeсной строкe Tor Browser-a ввeдиmе aдpес:
[URL]http://cryptsen7fo43rr6.onion/[/URL]
u нажмumе Enter. Заrрyзumcя стpaницa с фopмой обрaтнoй связи.
2) B любом браузере пepейдиmе по однoмy из адpecoв:
[URL]http://cryptsen7fo43rr6.onion.to/[/URL]
[URL]http://cryptsen7fo43rr6.onion.cab/[/URL]
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
49C3DD9FC140298C28E5|0
to e-mail address [EMAIL="[email protected]"][email protected][/EMAIL] .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the feedback form. You can do it by two ways:
1) Download Tor Browser from here:
[URL]https://www.torproject.org/download/download-easy.html.en[/URL]
Install it and type the following address into the address bar:
[URL]http://cryptsen7fo43rr6.onion/[/URL]
Press Enter and then the page with feedback form will be loaded.
2) Go to the one of the following addresses in any browser:
[URL]http://cryptsen7fo43rr6.onion.to/[/URL]
[URL]http://cryptsen7fo43rr6.onion.cab/[/URL][/SPOILER]
Отчет сформированный согласно правил я приложил. js-файл и само письмо в почте не удалены. Правда js-файл я загружал с другого компьютера из под виртуальной машины. Если нужно могу извлечь файлы из карантина avast и также отправить на virustotal.
PS: Если это может помочь то сохранилось несколько не зашифрованных файлов из тех которые были зашифрованы.