Показано с 1 по 12 из 12.

Вирус (зашифрованные файлы) (заявка № 120792)

  1. #1
    Junior Member Репутация
    Регистрация
    28.05.2012
    Сообщений
    6
    Вес репутации
    21

    Вирус (зашифрованные файлы)

    Добрый день! Пришло письмо от "Сбербанк Онлайн" в письме находился вирус который зашифровал все документы с расширениями docx, xlsx, txt, jpg и т.д.
    Несколько зараженных документов свернул в архив и выложил на файлобменнике.
    Ссылка: http://zalil.ru/33326349
    Нужна Ваша помощь в расшифровке. Но поскольку файлов очень много, то я так думаю что расшифровщик.
    С Уважением, Вячеслав.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,460
    Вес репутации
    342
    Уважаемый(ая) Numark86, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    28.05.2012
    Сообщений
    6
    Вес репутации
    21
    Предоставляю логи АВЗ и HiJackThis.
    Вложения Вложения

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267

  6. #5
    Junior Member Репутация
    Регистрация
    28.05.2012
    Сообщений
    6
    Вес репутации
    21
    К сожалению Ваш ответ не помог решить проблему. Ибо пароль вводить не куда, так как программа lockdir.exe отсутствует. У меня есть письмо от лже-Сбербанка, подскажите на какой адрес можно его переслать для исследования. В нем ссылка на архив Sber_statics.zip в архиве файл с вирусом Sber_statics.scr (файл заставки). И после его открытия все файлы зашифровались. Просмотрел этот файл Far`ом и обнаружил что в нем содержатся несколько файлов, такие как "напоминание.txt", "ttt.jpg", "codec2609.exe", "svchost.exe", "STATS.xls". Проверка антивирусом Nod32 ничего не обнаружила. Слишком он уж свежий. Дата файлика 26.05.2012. Почтовый адрес злодея для отправки письма помощи: backmyfiles@rocketmail.com

    - - - Updated - - -

    Залил запрощенный карантин
    Результат загрузки
    Файл сохранён как 120528_195734_Sber_statics_4fc3d8ae1f7d0.zip
    Размер файла 778884
    MD5 a6c72c9b6fa80e24e714e0592979dca3

    Файл закачан, спасибо!

  7. #6
    Junior Member Репутация
    Регистрация
    28.05.2012
    Сообщений
    6
    Вес репутации
    21
    Уважаемые Администраторы VirusInfo! Прокомментируйте пожалуйста мое последнее сообщение. Файлы очень сильно нужны.

  8. #7
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    Цитата Сообщение от Numark86 Посмотреть сообщение
    Залил запрощенный карантин
    Никто ничего не просил заливать. Это делу не поможет. Надо ждать ответ от сотрудника ЛК.

  9. #8
    Junior Member Репутация
    Регистрация
    28.05.2012
    Сообщений
    6
    Вес репутации
    21
    Понял Вас! Ждемс... Спасибо!

    - - - Updated - - -

    Немного информации в помощь Вам! На компьютере стоял Антивирус Nod32. Удалил его и поставил пробную версию Антивируса Касперкого и натравил на этот самый файлик с вирусом - sber_statics.scr. Результат меня просто шокировал. В одном файле Касперский обнаружил сразу 3 вируса:
    1.Trojan-Ransom.Win32.Rector.fh
    2.Trojan-PSW.Win32.Tepfer.yyh
    3.Trojan-Dropper.SIM.Reftar.a
    Скриншот прикрепил.

    - - - Updated - - -

    И теперь самый главный вопрос! Можно ли вернуть рабочее состояние моих файлов или все безнадежно?!
    Изображения Изображения

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Цитата Сообщение от Numark86 Посмотреть сообщение
    В одном файле Касперский обнаружил сразу 3 вируса:
    1.Trojan-Ransom.Win32.Rector.fh
    2.Trojan-PSW.Win32.Tepfer.yyh
    3.Trojan-Dropper.SIM.Reftar.a
    Третий детект - это детект на сам файл sber_statics.scr, который является SIM-архивом. После запуска из него извлекается три файла:
    - безобидный файл Excel с некой левой информацией
    - svchost.exe - Trojan-Ransom.Win32.Rector.fh - сам шифровальщик RectorRSA (файл накрыт с помощью Obsidium, на виртуалке не запускается). В свете написанного в скобках получить информацию, необходимую для расшифровки расшифровать своими силами не представляется возможным
    - codec2609.exe - Trojan-PSW.Win32.Tepfer.yyh - воровайка паролей от почты, аськи и т.д.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    28.05.2012
    Сообщений
    6
    Вес репутации
    21
    Все ясно, спасибо большое за объяснение! Тогда возникает вопрос!? Но перед ним ещё немного информации для поиска истины и решения данной проблемы... Судя по постам от этой дряни народу пострадало нереально много!
    При заражении машины и некачественным поведением со стороны Антивируса Nod32 со свежими базами на момент заражения, который все это дело спокойно пропустил (пусть все люди которые прочитали мой пост знают, что данный антивирус немного отстал от жизни, в отличие от Касперского, который рассказал и показал мне в подробностях какая дрянь накрыла все мои файлы - скриншот прикреплен в сообщении выше!) в комп была вставлена флеш-карта, с ещё более важной информацией, содержащая все те же файлы: docx, xlsx, jpg, pdf..., одним словом все пользовательские файлы для работы. С данной флешкой мы обратились в одну из компаний по восстановлению данных, и буквально через пять минут нам вынесли 3 расшифрованных из 40 зашифрованных файлов, которые благополучно открылись. Что не может не радовать. Но за остальные 37 мы возьмем 5000 руб. А когда мы сообщили программерам что всего зараженных файлов на 30 гигов, они сделали нам коммерческое предложение на изготовление программы-расшифровщика за скромное вознаграждение в 15000 руб. Как они это сделали я могу только предполагать: открыли hex, увидели что в каждом файле одни и те же байты в конце каждого файла, и заменили определенные байты на ???!!! ..., после чего все прекрасно открылось. Красавчики, вопросов нет.
    А теперь сам вопрос: как же у них так это получилось, да и ещё за такой короткий промежуток времени, а Ваш ответ я понимаю так, что без ключа к алгоритму RSA сделать невозможно?
    P.S.: Зараженный компьютер стоит мертвым грузом, ждет лекарства, а все тесты на излечения ведутся на специально зараженном ноутбуке. Где с начало был установлен Nod32, далее скачен с почты файл пакостник (сообщение с вирусом от Сбербанка) и открыт для заражения. Затем была произведена установка пробной версии Каспера 2012 и как только базы обновились случилось чудо...! Сразу понеслись оповещения о неком го*не на моей тачке, после чего все успешно удалилось и переместилось в хранилище.
    Жду ответа и благодарю за помощь всех, кто поможет в решение моей проблемы!!!

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Все дело в том, что изменения вносятся в пяти местах, и ручная правка в hex-редакторе помогает только с файлами Excel. C остальными это не проходит

    Если ждать совсем невмоготу, остается вариант заплатить вымогателям. Как правило, после оплаты дешифровщик присылают

    - - - Updated - - -

    Воспользуйтесь информацией в этом сообщении
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. \\sber_statics\\sber_statics.scr - Trojan-Dropper.SIM.Reftar.a ( DrWEB: Trojan.Encoder.102, BitDefender: Gen:Trojan.Heur.oqZ@rD4@H!nau )


  • Уважаемый(ая) Numark86, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Зашифрованные файлы
      От Dozgd в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 08.06.2012, 23:33
    2. зашифрованные файлы
      От Otark в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 18.05.2012, 23:49
    3. Зашифрованные файлы
      От ValN в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 13.05.2012, 12:55
    4. Вирус Зашифрованные файлы с расширением .RN
      От Langolier в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 04.02.2012, 09:57

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01587 seconds with 17 queries