Trojan-Ransom.Win32.Rector.dt - Заблокированы документы. Надпись - "отлично я закончил работу"
Здравствуйте! Ситуация идентична описанной тут, включая текст, адрес email [email protected].
Вирус скачивается по приложенной ссылке, в настоящее время определяется Касперским как "Trojan-Ransom.Win32.Rector.dt"
Рекомендованные средства не помогают:
1. утилита 14_decoder.exe от ESET, скачанная по ссылке и утилита RectorDecryptor от Касперского не могут расшифровать (логи прилагаю)
2. Расшифровщик, предложенный уважаемым thyrex тут начинает работу, потом внезапно закрывается, файлы остаются зашифрованными (тут есть некоторое подозрение, возможно ошибочное, что часть файлов он все-таки расшифровал, т.к. некоторые файлы с рабочего стола открываются (после запуска с указанием пути "c:"), но сколько я ни пытался еще что-нибудь расшифровать с указанием конкретного пути - безуспешно).
Прошу помочь расшифровать файлы.
Сразу прошу прощения, что не выполнил все правила - сделал только проверку в безопасном режиме и остановился, т.к. дойдя до пункта "Отключите восстановление системы" подумал, что точка восстановления мне может пригодиться - ведь с при восстановлении откатываются файлы, размещенные на рабочем столе (WinXP_SP3_Pro), восстановлю хотя бы их. Если скажете - конечно, сделаю.
Прилагаю:
1. ссылку на вирус ("virus-link.txt")
2. логи работы RectorDecryptor ("RectorDecryptor.2.4.2.0_26.01.2012_12.10.28_log. txt")
3. логи работы 14_decoder.exe ("decoder_log.txt")
4. архив с несколькими зашифрованными файлами ("crypted.zip")
Файл вируса, скачанный по этой ссылке у меня тоже имеется в запароленном архиве (иначе Касперский сразу удаляет)
Последний раз редактировалось olejah; 26.01.2012 в 19:17.
Причина: в прикреплённом документе ссылка на скачивание вируса
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) evggve, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
На счёт файлов выяснилось следующее:
RectorDecryptor от Касперского помогает, она не расшифровывает только те файлы, которые которые пытался расшифровать с использованием утилиты 14_decoder.exe от ESET или утилиты от thyrex (думаю, что именно из-за последней, но не утверждаю). Написал в саппорт Касперского, ответ: "...уже удалена информация, необходимая для восстановления. Возможно, их уже пытались неудачно расшифровать какой-либо другой утилитой". Должен был заметить это раньше, но не пришла в голову возможность повреждения файлов при неудачной расшифровке.
Отсюда вопросы/выводы:
1. Нужно ли попытаться найти зашифрованные файлы, которые еще не пытался восстанавливать утилитами и провести эксперимент по выявлению - какая из двух утилит повреждает файлы?
2. Наверно, нужно написать потенциальным пользователям тут и уважаемому thyrex предостережение?
3. Можно ли отменить последствия применения "повреждающей" утилиты?
Моя рекомендация в указанной Вами теме появилась только после проверки ее на файлах, присланных пользователем
Цитата из правил
Важное замечание
Пожалуйста, не выполняйте скрипты лечения, написанные для других пользователей! Каждый случай уникален, Вы можете нанести вред и Вашему компьютеру, и нашему сервису. За последствия, наступившие в случае невыполнения данного пункта, портал VirusInfo ответственности не несет! В данном случае администрация ресурса имеет право отказать в оказании помощи без пояснения причин.
Хотя речь идет только о скриптах, можно распространить и на любые рекомендации, выданные не Вам
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Сделано (только Adobe Reader надо было обновить)
Сообщение от regist
+ Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.
Файл сохранён как 120130_085430_virusinfo_files_BUHGALTER_4f265ac6d6 c33.zip
Размер файла 18614489
MD5 611047594ccfb4aa807c9a06c5073f3a
thyrex, я понимаю, правила читал, но гугление по данной проблеме сразу выдает эту тему + есть положительный отзыв, соответственно я попытался лечиться еще до создания собственной темы => до чтения правил. Думаю, я не один такой дурак, потому и предложил обезопасить остальных
Всем большое спасибо!
Последний раз редактировалось evggve; 30.01.2012 в 13:13.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: