Показано с 1 по 7 из 7.

Вирусная атака от имени Сбербанка (заявка № 116333)

  1. #1
    Junior Member Репутация
    Регистрация
    09.02.2012
    Адрес
    Москва, Россия
    Сообщений
    4
    Вес репутации
    22

    Вирусная атака от имени Сбербанка

    Клиентам приходит письмо следующего содержания:
    СОOБЩЕНИЕ ОБ УВЕЛИЧЕНИЕ ЗАДОЛЖЕННОСТИ
    От кого: Руководитель подразделения Филкина Е.О.
    Кому: recipient@mail.ru
    Дата: 09 февраля 2012, 12:08
    Тема: СОOБЩЕНИЕ ОБ УВЕЛИЧЕНИЕ ЗАДОЛЖЕННОСТИ
    СООБЩЕНИЕ ОБ УВЕЛИЧЕНИЕ ЗАДОЛЖЕННОСТИ

    По данным на 08.02.2012 вы превысили максимально допустимую отсрочку платежа.Ваш счёт будет заблокирован.См.прикреплённые документы или обратитесь в ближайшее отделение банка.
    Руководитель подразделения Филкина Е.О.

    К письму приложен архив, в нем находится программа ElcomSoft Advanced EFS Data Recovery, настроенная таким образом, что без дополнительных запросов кодирует и удаляет все файлы пользователя.
    После открытия программа выдает следующий текст:
    «Внимание! На вашем компьютере,обнаружено нелицензионное программное обеспечение.Доступ к вашим файлам запрещен ! Чтобы восстановить свои файлы и получить к ним доступ, отправьте сообщение на почту unionprotect@aol.com Идентификатор 84378698988 У вас есть 5 попыток ввода кода. При превышении этого количества, все данные необратимо испортятся. Будьте внимательны при вводе кода!»
    Вариант «письма счастья»:
    Заблокированы файлы? Выход есть! Ваш компьютерный мастер установил вам нелегальное программное обеспечение. Для установки и легализации программ, нами создан специальный сканер, который выявляет целостности программного обеспечения. Анализ вашей системы показал, наличие модифицированного софта. Ваш компьютер подвержен большому риску. Во избежании и недоразумения, призываем вас купить пакет легализации программного обеспечения. После оплаты, вам будет выслан Сертификат подлинности и пароль разблокировки ваших файлов. Обращаем внимание, в случае попытки самостоятельного восстановления заблокированных файлов, ваши файлы будут потеряны … Выбор за вами! Отправьте заявку на Email unionprotect@aol.com ваш номер в системе 40032 пишите его при обращении! С уважением, Союз Правообладателей
    На экране появляется изображение:

    Все файлы пользователя шифруются, расширение меняется на .MICROSOFT.
    Лицензионные Kaspersky Internet Security, McAfee Internet Security и Doctor Web программу как вирус не распознают.
    Средства дешифровки файлов пользователя, в том числе Kaspersky RectorDecryptor Utility Trojan-Ransom.Win32.Rector и Kaspersky XoristDecryptor Utility для Trojan-Ransom.Win32.Xorist файлы как зашифрованные не распознают.

    Если кто-нибудь знает способ лечения проблемы — будем рады помощи.
    Мы пока пытаемся восстановить файлы через NTFS Restorer.
    Последний раз редактировалось ryazansky; 09.02.2012 в 21:16.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,461
    Вес репутации
    342
    Уважаемый(ая) ryazansky, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    09.02.2012
    Адрес
    Москва, Россия
    Сообщений
    4
    Вес репутации
    22
    AVZ ничего не находит, так как программа по сути не является вирусом. У нее легальная подпись ElcomSoft Advanced EFS Data Recovery, а остальное делается настройками. При этом запущенная программа спокойно закрывается штатными средствами. Вот только все файлы по маске .doc(x), .xls(x), .jpg и .jpeg и прочие стандартные форматы становятся зашифрованными и меняют разрешение.

    Да, в MFT удаленные файлы — не те, которые относятся к переименованным. Поэтому NTFS Restorer и прочие UnDelete в данной проблеме не помогают.
    Клиента лечим backup-ом и перестановкой. Ждем какого-нибудь декриптора...

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,384
    Вес репутации
    3019
    Сам файл, вызвавший проблему, сохранился? Выложите на обменник в архиве с паролем virus и пришлите ссылку мне в личные сообщения
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    09.02.2012
    Адрес
    Москва, Россия
    Сообщений
    4
    Вес репутации
    22
    Приложил к посту. Сейчас на хостинг выложу и кину ссылку.

  7. #6
    Kaspersky Lab Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    14.11.2009
    Адрес
    Щелково
    Сообщений
    257
    Вес репутации
    91
    Работаем над расшифровкой. Ждите.

    Добавлено через 3 часа 33 минуты

    Новая версия утилиты готова - ftp://SLArchive-ro:vOs1onEcsM@data6....tDecryptor.exe. В ближайшее время будет выложена и на обычном месте (support.kaspersky.com).
    Последний раз редактировалось Юрий Паршин; 10.02.2012 в 14:44. Причина: Добавлено

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. \\virus\\сведения об операции.7z - Trojan-Ransom.Win32.Xorist.fd ( DrWEB: archive: Trojan.MulDrop3.33753, BitDefender: Trojan.Generic.KDV.530697, NOD32: Win32/Filecoder.Q trojan )


  • Уважаемый(ая) ryazansky, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирусная атака от имени Сбербанка
      От Anton1 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 19.05.2012, 22:56
    2. вирусная атака от сбербанка
      От JUK в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 05.03.2012, 13:03
    3. Вирусная атака
      От Macorlinux в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 09.09.2010, 18:51
    4. Вирусная атака
      От denisiv в разделе Помогите!
      Ответов: 25
      Последнее сообщение: 08.07.2009, 00:45
    5. Вирусная АТАКА
      От Dantist в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 29.08.2008, 12:21

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00107 seconds with 16 queries