-
Junior Member
- Вес репутации
- 43
Дропер шифровщик данных [Trojan-Ransom.Win32.Xorist.gf
]
Доброго всем дня! Помогите с расшифровкой данных от действий Trojan.Encoder.94
Прислали по почте жена открыла и вот тебе на.
Есть как само тело так и файлы:
Document77.lzh - был прикреплен к письму, в нем :
Увeдoмление о взыскaние дoлга.exe и Порядок работы с просроченной задолженностью.doc
При запуске exe-ка дропнулся файл z.exe (я так понимаю сам "гад")
В архиве приложил 2 doc шифровоных файла.
Пользовался утилитами от kaspersky не одна не помогла.
Pass на скачку 123 на архив virus
Помогите пожалуйста кто в теме
Собственно вот
Последний раз редактировалось Никита Соловьев; 27.07.2012 в 16:51.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) zelibobo, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 43
To bad ? Если Ваши файлы зашифрованы, выложите несколько таких файлов на файлообменник и укажите ссылку на них в своей теме
Тогда простите.
А по теме - даже если есть зловред и файлы , есть шанс ждать ? Или напицца и забыцца
-
Сообщение от
zelibobo
есть шанс ждать
Есть шанс ждать. Вопрос в другом: сколько ждать.
-
-
Junior Member
- Вес репутации
- 43
to Никита Соловьев
На сколько я понимаю Вы сталкивались с подобными зловредами. Я так понимаю z.exe это "шифратор и дешифратор"
Найденые строки в "теле" :
00002600 00404000 0 0p3nSOurc3 X0r157, цензура!
00002643 00404043 0 Файлы успешно расшифрованы!
00002667 00404067 0 Вы исчерпали лимит попыток - Ваши данные безвозвратно испорчены.
000026A8 004040A8 0 Пароль введ
000026B4 004040B4 0 н верно. Нажите OK для начала расшифровки файлов. После нажатия не закрывайте программу до появления сообщения об удачном завершении расшифровки файлов.
Я не силен в реверс инженерии но надеюсь что кто нибудь поможет.
-
Запакуйте этот файл в zip архив с паролем virus и пришлите нам. (Красная ссылка над первым сообщ. в теме).
-
-
Junior Member
- Вес репутации
- 43
to Никита Соловьев
Закачал:
Результат загрузки
Файл сохранён как 120730_060554_z_5016244271590.zip
Размер файла 476891
MD5 fba11bc335742ce323754f41c42c96b9
Файл закачан, спасибо!
-
Сообщение от
zelibobo
MD5 fba11bc335742ce323754f41c42c96b9
Trojan-Ransom.Win32.Xorist.gf
Утилиту для дешифровки Xorist от Лаборатории Касперского пробовали?
-
-
Junior Member
- Вес репутации
- 43
XoristDecryptor ничего не находит и не восстанавливает.
-
Ваш образец отправлен автору утилиты. В ближайшее время (в ближайшие дни) дешифровка будет добавлена в утилиту. Следите за ее обновлением
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 43
thyrex спасибо Вам огромное!
{OFF TOP}
Вчера установил на VirtualBOX XP SP3 хотел посмотреть под Дебагером процесс заражения
Скопировал несколько видов документов и запустил зловреда, так он наг скрин показывает , в авто-ран ложится,а файлы ну ни-как не трогает. Ну раз в ближайшее время добавят в утилиту - прекращаю колупаться с ним.
-
Понятное дело - он детектит запуск на виртуальной машине
- - - Добавлено - - -
Запустите утилиту с ключом
Код:
-uid NDEBWWOXCAJNGBT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 43
Детектить начал расшифровывать тоже но файлы "битые" на выходе
Последний раз редактировалось zelibobo; 01.08.2012 в 12:11.
-
Файлы точно остались в тех же папках, что и на момент шифрования?
-
-
Junior Member
- Вес репутации
- 43
100% на своих местах , ничего не ставилось и не удалялось. Т.к смысла в его пригодности нет раб.файлов нет.
з.ы
кроме самого тела виря
-
Выложите 2-3 зашифрованных файла.
-
-
Junior Member
- Вес репутации
- 43
Вот несколько шифрованных
http://rghost.ru/39511595
-
Теперь причина понятна - это семпл не того шифровальщика, который пошифровал файлы. Помочь не можем, пока семпл не поступит к нам.
-
-
Junior Member
- Вес репутации
- 43
Так что получается я изначально "пудрю" мозг за другого "гада"
Простите уважаемые! , но жена сказала что только письмо открыла с "этим" "злавредом".
Значит в системе уже сидел другой. Пойду дальше смотреть карантин и логи NODA.
Может найду 1-го.