-
Junior Member
- Вес репутации
- 44
После письма от "якобы" СберБарка зашифрованы DOC, XLS, PDF, ZIP
Сегодня в первой половине дня секретарь получил письмо с заголовком ЗАДОЛЖЕННОСТЬ ОТ СБЕРБАНКА
В письме была ссылка на архив:
После открытия архива и распечатки документа зашифровались все файлы DOC, XLS, PDF, ZIP расположенные на внутресетвых ресурсах. Файл с примером зашифрованных файлов и вирусом во вложении.
Последний раз редактировалось olejah; 28.05.2012 в 18:53.
Причина: публикация активных ссылок на зверье ЗАПРЕЩЕНА!!!!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) ZeniCH, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 44
В автозагрузке инфицированного ПК прописан текстовый файл:
Для возврата файлов пишите сюда [email protected]
В ответ на моё письмо пришло следующее:
Здравствуйте, процедура возврата файлов платная её цена составляет 2000 рублей. оплата производится с помошью предоплатной карты яндекс деньги.
Такую карту можно купить например в Евро сети или в любом почтовом отделении подробнее можно посмотреть тут https://money.yandex.ru/prepaidcards/
Если вы сомневаетесь что у меня есть хоть какое то средство возврата файлов можете послать мне 1 испорченный файл я его восстанавлю и дам вам на просмотр!
Надеюсь такая гарантия с моей стороны будет достаточной?
Как только вы мне передадите цифры написанные на карточке я сразу же (с условием что я буду в сети) дам вам ссылку на специальную программу которая восстановит все ваши данные
непосредственно у вас на компьютере.
-
-
-
Junior Member
- Вес репутации
- 44
Всё дело в том что код вводить некуда. Файлы просто не открываются. В зависимости от разрешения файла я вижу то "файл поврежден", то "не соответствует формат" и прочее. У меня получилось востановить один XLS путем замены первых 5 бит через HEX редактор на 5 бит из "здорового" файла. Но у меня то жэтих файлов несколько десятков тысяч...
В этих темах аналогичная ситуация:
http://virusinfo.info/showthread.php?t=120779
http://virusinfo.info/showthread.php?t=120792
Злоумышленник так же просит 2000 р. за дешифратор
Последний раз редактировалось ZeniCH; 28.05.2012 в 22:24.
-
Junior Member
- Вес репутации
- 44
Вот и здесь точно такая же ситуация:
http://virusinfo.info/showthread.php?t=120792
Скажите какие ещё данные нужны для дешифровки?
-
По примерам зашифрованных файлов может ответить сотрудник ЛК. Ждем.
-
-
Junior Member
- Вес репутации
- 44
В общем на данный момент ситуация такая: с вордовскими документами у меня всё получается. Открываю порченый файл HEX-редактором и меняю 5 первых байт (они выглядят как 88 88 88 88 88) на 5 первых байт из любого здорового вордовского файла (они выглядят так d0 cf 11 e0 a1). Сохраняю. Файл открывется, форматирование на месте.
Проверю остальные форматы - отпишу.
- - - Updated - - -
Попробовал данный способ на остальных файлах, после замены первых 5 байт получил следующие результаты: XLS - получается через раз (часть документов в норме, часть почему то пустые), JPG - просматриваются только стандартным виндовым просмотрщиком с потерей цветности, PDF - вроде всё ок, 7z - то же вроде ок.
- - - Updated - - -
Нашел исходники испорченых файлов. Прикрепляю архив с плохими и хорошими файлами разных форматов (хорошие с подчерком в названии).
- - - Updated - - -
Собратья по несчастью подсказывают, что изменены не только первые 5 байт. Так что не торопитесь с экспериментами. По крайней мере если пробуете, то делайте это с КОПИЯМИ поврежденных файлов. Удачи всем.
Кстати, способ описанный мною по крайней мере у меня работает со всеми файлами DOC. При этом можно запустить пакетное преобразование воспользовавшись например HEX Editor Neo. Не забывайте: если пробуете то с копиями!
Последний раз редактировалось ZeniCH; 29.05.2012 в 17:22.
-
Junior Member
- Вес репутации
- 44
Уважаемый администратор, скажите, файлы возможно дешифровать?
Или это тупик? И можно начинать востанавливать файлы вручну из старых копий и бумажных носителей?
Сотрудник ЛК дал какой-нибудь ответ?
-
-
-
Olejah, здесь иной случай.
ZeniCH, если ждать невмоготу, проще заплатить. Как правило, авторы присылают дешифровщик
На данный момент ни один из имеющихся у меня дешифровщиков не срабатывает
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 44
На данный момент с помощью Hex Editor Neo я пакетно поменял первые 5 байт во всех файлах с разрешением DOC, XLS, PDF, RAR, ZIP и 7Z на 5 первых байт их же здоровых собратьев. Файлы открываются, содержание сохранилось. XLSX я востановил с помощью Ontrack EasyRecovery Professional. Файлы открываются, содержание сохранилось.
Не получается побороть DOCX, JPG и GIF.
По поводу злоумышленников. Чисто теоретически я готов им заплатить. Но мне со всех сторон твердят что дешифровщик я не получу, либо получу файл который добъет существующие файлы. Остается залить на тестовую машину испорченный контент и попробовать.
-
Сообщение от
ZeniCH
либо получу файл который добъет существующие файлы
Такое происходит, если используется дешифровщик, совершенно неподходящий к версии шифровальщика.
А чтобы не убить информацию достаточно перед расшифровкой скопировать все зашифрованные файлы в отдельную папку, на которую и нужно натравить дешифровщик. Так делаю я, когда подбираю необходимую версию дешифровщика
Подведем итог. Нашелся добрый человек и прислал дешифровщик для Вашего случая http://zalil.ru/33347144
Он работает, но не совсем корректно. В чем это проявляется: после дешифровки в папке остаются два (причем рабочих) варианта каждого расшифрованного файла. В одном - просто восстановлены замененные шифровальщиком участки файла и соответственно размер файла остается таким же, как и у зашифрованного варианта. Во втором - удалена информация, которая дописывается в конец каждого файла после шифрования, но расширение у файла остается .bak
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 44
Небольшая поправка. Про файлы с расширением DOCX и XLSX: рабочими являются только версии файлов с расширением BAK (вторая версия файла является пустой). В остальном всё замечательно. Спасибо огромное.
Хотелось бы узнать вот ещё что: какого объема папки можно подсовывать данному дешифровальщику? Может есть какие-то ограничения или рекомендации?
И вот ещё что: он не работает с подпапками, так? То есть востанавливает только файлы в корне папки?
- - - Updated - - -
Сообщение от
ZeniCH
Небольшая поправка. Про файлы с расширением DOCX и XLSX: рабочими являются только версии файлов с расширением BAK (вторая версия файла является пустой). В остальном всё замечательно. Спасибо огромное.
Хотелось бы узнать вот ещё что: какого объема папки можно подсовывать данному дешифровальщику? Может есть какие-то ограничения или рекомендации?
И вот ещё что: он не работает с подпапками, так? То есть востанавливает только файлы в корне папки?
Сам же себе и отвечаю.
Оказывается некоторые файлы зашифрованы у меня по 2 раза... Так что дешифратор работает корректно. Со всеми типами файлов. И с подпапками то же работает.
Последний раз редактировалось ZeniCH; 31.05.2012 в 10:47.
Причина: Уточнение
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 0
- В ходе лечения вредоносные программы в карантинах не обнаружены
-