Приветствую всех! У меня та же ситуация, что и в теме [url]http://virusinfo.info/showthread.php?t=141677&[/url]. Все один в один. Каким образом расшифровать файлы? Спасибо.
Printable View
Приветствую всех! У меня та же ситуация, что и в теме [url]http://virusinfo.info/showthread.php?t=141677&[/url]. Все один в один. Каким образом расшифровать файлы? Спасибо.
Уважаемый(ая) [B]max86[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url]http://virusinfo.info/showthread.php?t=141677&p=1016911&viewfull=1#post1016911[/url]
прикрепляю файлы АВЗ, Hijack This и пару зашифрованных файлов.
[url]https://www.dropbox.com/s/ma49zy9xv4n9u5l/x27.rar[/url]
DeleteFile('C:\Users\Log4\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\africa.bmp');
DeleteFile('C:\Windows\Tasks\97r90g.job');
нашел у себя такие же файлы что и у автора темы [url]http://virusinfo.info/showthread.php?t=141707&p=1017075&viewfull=1#post1017075[/url]
почему не показываются мои сообщения?????
Логи надо на форуме прикреплять потому что. Срабатывает модерация ссылок
Очистим хвосты, но это ничем дешифровке не поможет
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Program Files\Mindjet\MindManager 10\sys\MmInternetExplorerActiveSetup.vbs','');
QuarantineFile('C:\TEMP\3fed5.exe','');
DeleteFile('C:\Users\MAX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\africa.bmp','32');
DeleteFile('C:\TEMP\3fed5.exe','32');
DeleteFile('C:\Windows\system32\Tasks\97r90g.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
спасибо. но если не поможет дешифровке тогда какой смысл все делать? Реально ли получить/создать дешифратор?
Нереально [B]создать[/B]. Ключи шифрования и дешифровки разные. Длина ключа около 700 бит
[quote="max86;1020932"]если не поможет дешифровке тогда какой смысл все делать?[/quote]Хотите жить с другими вирусами, живите. Насильно упрашивать не станем
[QUOTE=thyrex;1020937]Нереально [B]создать[/B]. Ключи шифрования и дешифровки разные. Длина ключа около 700 бит
Хотите жить с другими вирусами, живите. Насильно упрашивать не станем[/QUOTE]
ясно. какой антивирус поставить чтобы ловил такие вирусы?
Сомнительно, что антивирусы помогут против шифровальщиков
если все вирусы будут шифровать, то начнутся веселые времена, особенно для тех, у кого зашифровались рабочие документы.
от государства кто-нибудь такими вещами занимается? кто-то же создал эту хрень. найти их вряд ли удастся
[quote="max86;1020942"]от государства кто-нибудь такими вещами занимается?[/quote]вряд ли
[quote="max86;1020942"]кто-то же создал эту хрень. найти их вряд ли удастся[/quote]Именно так. Злоумышленники прячутся за анонимайзерами
Новые логи
[ATTACH]427745[/ATTACH]
[ATTACH]427747[/ATTACH]
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\PROGRA~2\Mozilla\tptlnbi.exe','');
DeleteFile('C:\PROGRA~2\Mozilla\tptlnbi.exe','32');
DeleteFile('C:\Windows\system32\Tasks\dichpbj','32');
DeleteFile('C:\TEMP\3fed5.exe','32');
DeleteFile('C:\Windows\Tasks\97r90g.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Логи:
[ATTACH]427763[/ATTACH]
[ATTACH]427768[/ATTACH]
C:\Program Files\Justinmind\Prototyper Free 5.5.0\plugins\org.eclipse.gef_3.8.0.201206112118.jar - тоже вредонос
В остальном уже чисто
ок. спасибо. кто-нибудь ведет работу по поиску дешифратора? я так понял "африканцев" на форуме все больше становится.
не работает подсистема диспетчера печати. после вируса возможно отрубилась. в "службах" стоит Автоматически, при запуске вручную все равно печать на принтер не идет. Что может быть? Спасибо.
[quote="max86;1020980"]кто-нибудь ведет работу по поиску дешифратора?[/quote]А кто должен?
[quote="max86;1020980"]не работает подсистема диспетчера печати. после вируса возможно отрубилась[/quote]Нет, шифровальщик этим точно не занимается
Этот вирус закодировал все семейные фото. Это тысячи фотографий. как теперь быть? Кто-нибудь купил дешифратор? Если нет, давайте скинемся. и вообще реально ли его достать?
[quote="max86;1020942"]если все вирусы будут шифровать, то начнутся веселые времена, особенно для тех, у кого зашифровались рабочие документы.
от государства кто-нибудь такими вещами занимается? кто-то же создал эту хрень. найти их вряд ли удастся[/quote]
напишите заявление в милицию, если найдут злоумышленника то найдут и дешифратор. А то большинство ничего не хочет делать и заявление написать ленится и хочет, чтобы решение само появилось. [URL="http://legal.drweb.com/templates"]Вот тут можете найти образцы заявления в милицию.[/URL]
[quote="max86;1020939"]ясно. какой антивирус поставить чтобы ловил такие вирусы?[/quote]
это зависит от проактивной защиты антивируса. Прошу не считать за рекламу, другие просто не тестировал, но антивирус касперского проверял способен блокировать шифровальщики чисто по поведению.
[QUOTE=regist;1021726]напишите заявление в милицию, если найдут злоумышленника то найдут и дешифратор. А то большинство ничего не хочет делать и заявление написать ленится и хочет, чтобы решение само появилось. [URL="http://legal.drweb.com/templates"]Вот тут можете найти образцы заявления в милицию.[/URL] [/QUOTE]
какая нафиг реклама)) это форум специалистов по решению проблем. Это нормальный совет
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
У касперского несколько версий. Какую именно рекомендуете использовать? Спасибо за ответ.
[quote="max86;1021771"]У касперского несколько версий. Какую именно рекомендуете использовать?[/quote]
на данный момент актуальной является KAV/KIS 2013 если у вас установлен отдельно файрволл, то KAV а если из защитного ПО больше ничего нет, то KIS.
вот у этого человека похожая проблема: [url]http://virusinfo.info/showthread.php?t=141855&p=1021994&viewfull=1#post1021994[/url]
каким образом та программа помогла ему? если она расчитана на другие шифровалщики?
У него просто другой ключ шифрования, который уже есть в утилите
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
У него просто другой ключ шифрования, который уже есть в утилите
причем тут ключ, если он даже не берется за его расшифрование? пишет, что неизвестный тип вируса. Хотя вирус один и тот же, только цифра в конце другая. или я что-то неправильно делаю
[quote="max86;1022082"]причем тут ключ[/quote]
[quote="max86;1022082"]Хотя вирус один и тот же, только цифра в конце другая[/quote]
эта цифра означает, что у него другая модификация шифровальщика и с другим ключом шифрования. Если вы будете бездумно проверять разные шифровальщики предназначенные для других модификаций, то рискуете потерять свои файлы окончательно без возможности их восстановления.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]