Очередной "пиратский" Trojan-Ransom.Win32
Добрый день/ночь.
Коллега получила на почту уже известное "постановление суда.EXE", отчего ее файлы известных всем форматов (доки, файлы 1С, картинки) навеки зашифрованы. К расширению файла добавляется [email protected]_XO102. Просят хозяева 2 биткоина, не для себя, а для помощи африканским детям, однако же факты финансовой помощи детям предоставить отказываются и, более того не могут расшифровать мне 1 файл для образца.
По факту: 1. Сам exe'шник не определяется как инфицированный ни AVP, ни AVZ, ни DrWeb, ни MBAM, ни другими известными мне утилитами (в т.ч. в Safe Mode и LiveCD). На VirusTotal.com показатель выявления составил 16/45, чуть позже пришло письмо из ЛК с идентифицированным Trojan-Ransom.Win32.Crypren.pit 2. Понимаю что видимо расшифровать файлы не получится, но у меня чувство что вирус где то засел, и его поиски уже дело принципа. Тем более комп состоит в сети. Точнее уже состоял.
3. Интересный момент - в проводнике перестал работать поиск. Перелопатил все политики, ковырялся в процессах имеющих отношение к Explorer, но ничего так и не нашел. Все, что посчитал подозрительным сравнивал с норм. файлами, но все везде чисто. Ощущается нехватка опыта в этой сфере)
4. Некоторые файлы частично восстановил через Ontrack EasyRecovery Professional. Ессно 100% нигде не восстановлено(
Сразу оговорюсь - я не ITшник, просто хочу помочь человеку, и весь алгоритм моих действий - заслуга google.ru (спасибо ему!). Некоторые файлы очень ценны и за рабочий дешифратор вполне могу заплатить, с последующей закачкой в сеть для общего пользования.
Логи+
Архив с инфицированным "постановлением суда" и архив с примерами зашифрованных документов. Пароли к архивам: virus
Последний раз редактировалось Никита Соловьев; 16.10.2013 в 20:31.
Причина: Архив с вредоносной программой удалён из общего доступа.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Если у Вас лицензионный Доктор Веб, то можно попросить помощи у них в ТП. У Доктора на форуме есть тема посвященная шифраторам, там и узнаете есть расшифровщик для Вас или нет.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Зловред кидает свой файл в папку Автозагрузка, например, C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Постановление суда.exe
Поиск видимо не работает, что зловред что-то зашифровал в папке Windows
Др.Вэб ессно демо, до этого на компе стоял Аваст. Одновременно отсылал файлы в Лабараторию Касперского и Др.Вэб (будучи уже на демо версии), последние до сих пор молчат, но на утро в обновленных сигнатурах вирус детектировался.
Автозагрузка чиста абсолютно. Вчера много раз прогонял сис-му всяческими сканерами и нашел еще 2 его копии в system volume information, хотя восстановление сис-мы отключил сразу, как увидел вирус. Шустрый гад.
я это знаю, но плюс в том что он нашел его скрытые копии в закромах C:\Windows!! Кстати дешифровать файлы пока не получается. С помощью Power Shell подбираю всякие коды, которые выкладывают на Хабре, но пока результатов мало)
а детектировал доктор именно шифровальщика, т.к. я сунул ему зараженный *.exe файл на проверку