-
Junior Member
- Вес репутации
- 45
Вирусная атака от имени Сбербанка
Клиентам приходит письмо следующего содержания:
СОOБЩЕНИЕ ОБ УВЕЛИЧЕНИЕ ЗАДОЛЖЕННОСТИ
От кого: Руководитель подразделения Филкина Е.О.
Кому: [email protected]
Дата: 09 февраля 2012, 12:08
Тема: СОOБЩЕНИЕ ОБ УВЕЛИЧЕНИЕ ЗАДОЛЖЕННОСТИСООБЩЕНИЕ ОБ УВЕЛИЧЕНИЕ ЗАДОЛЖЕННОСТИ
По данным на 08.02.2012 вы превысили максимально допустимую отсрочку платежа.Ваш счёт будет заблокирован.См.прикреплённые документы или обратитесь в ближайшее отделение банка.
Руководитель подразделения Филкина Е.О.
К письму приложен архив, в нем находится программа ElcomSoft Advanced EFS Data Recovery, настроенная таким образом, что без дополнительных запросов кодирует и удаляет все файлы пользователя.
После открытия программа выдает следующий текст:
«Внимание! На вашем компьютере,обнаружено нелицензионное программное обеспечение.Доступ к вашим файлам запрещен ! Чтобы восстановить свои файлы и получить к ним доступ, отправьте сообщение на почту [email protected] Идентификатор 84378698988 У вас есть 5 попыток ввода кода. При превышении этого количества, все данные необратимо испортятся. Будьте внимательны при вводе кода!»
Вариант «письма счастья»:
Заблокированы файлы? Выход есть! Ваш компьютерный мастер установил вам нелегальное программное обеспечение. Для установки и легализации программ, нами создан специальный сканер, который выявляет целостности программного обеспечения. Анализ вашей системы показал, наличие модифицированного софта. Ваш компьютер подвержен большому риску. Во избежании и недоразумения, призываем вас купить пакет легализации программного обеспечения. После оплаты, вам будет выслан Сертификат подлинности и пароль разблокировки ваших файлов. Обращаем внимание, в случае попытки самостоятельного восстановления заблокированных файлов, ваши файлы будут потеряны … Выбор за вами! Отправьте заявку на Email [email protected] ваш номер в системе 40032 пишите его при обращении! С уважением, Союз Правообладателей
На экране появляется изображение:
Все файлы пользователя шифруются, расширение меняется на .MICROSOFT.
Лицензионные Kaspersky Internet Security, McAfee Internet Security и Doctor Web программу как вирус не распознают.
Средства дешифровки файлов пользователя, в том числе Kaspersky RectorDecryptor Utility Trojan-Ransom.Win32.Rector и Kaspersky XoristDecryptor Utility для Trojan-Ransom.Win32.Xorist файлы как зашифрованные не распознают.
Если кто-нибудь знает способ лечения проблемы — будем рады помощи.
Мы пока пытаемся восстановить файлы через NTFS Restorer.
Последний раз редактировалось ryazansky; 09.02.2012 в 22:16.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) ryazansky, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 45
AVZ ничего не находит, так как программа по сути не является вирусом. У нее легальная подпись ElcomSoft Advanced EFS Data Recovery, а остальное делается настройками. При этом запущенная программа спокойно закрывается штатными средствами. Вот только все файлы по маске .doc(x), .xls(x), .jpg и .jpeg и прочие стандартные форматы становятся зашифрованными и меняют разрешение.
Да, в MFT удаленные файлы — не те, которые относятся к переименованным. Поэтому NTFS Restorer и прочие UnDelete в данной проблеме не помогают.
Клиента лечим backup-ом и перестановкой. Ждем какого-нибудь декриптора...
-
Сам файл, вызвавший проблему, сохранился? Выложите на обменник в архиве с паролем virus и пришлите ссылку мне в личные сообщения
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 45
Приложил к посту. Сейчас на хостинг выложу и кину ссылку.
-
Работаем над расшифровкой. Ждите.
Добавлено через 3 часа 33 минуты
Новая версия утилиты готова - ftp://SLArchive-ro:[email protected]. В ближайшее время будет выложена и на обычном месте (support.kaspersky.com).
Последний раз редактировалось Юрий Паршин; 10.02.2012 в 15:44.
Причина: Добавлено
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- \\virus\\сведения об операции.7z - Trojan-Ransom.Win32.Xorist.fd ( DrWEB: archive: Trojan.MulDrop3.33753, BitDefender: Trojan.Generic.KDV.530697, NOD32: Win32/Filecoder.Q trojan )
-