Показано с 1 по 13 из 13.

Очередной шифратор .tutu@safrica.com_X23 [Trojan.Win32.Jorik.Buterat.ajax ] (заявка № 141707)

  1. #1
    Junior Member Репутация
    Регистрация
    09.07.2013
    Сообщений
    6
    Вес репутации
    17

    Очередной шифратор .tutu@safrica.com_X23 [Trojan.Win32.Jorik.Buterat.ajax ]

    Очередной шифратор файлов *.jpg, *.doc, *.xls, *.pdf.
    Шифрует тело файла и меняет разрешение файла на *.jpg.tutu@safrica.com_X23. Картинка появляется при запуске и на рабочий стол с просьбой связаться по электронной почте для решения проблемы финансовым способом.
    Примеры зашифрованных файлов:
    https://www.box.com/s/pvwng2q7lkg1ro0w9j22
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,462
    Вес репутации
    342
    Уважаемый(ая) Zeb, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,384
    Вес репутации
    3019
    Дешифратором для данной модификации пока никто не поделился

    Файл hosts сами правили?
    Последний раз редактировалось thyrex; 10.07.2013 в 08:50.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    09.07.2013
    Сообщений
    6
    Вес репутации
    17
    Нет. Компьютер "как есть". Даже не лечил истчо. надеюсь на обнаружение "тела" и дешифровку.

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,384
    Вес репутации
    3019
    Пофиксите в HiJack
    Код:
    O1 - Hosts: ko1213131
    O1 - Hosts: ko1213131
    O1 - Hosts: ko1213131
    O1 - Hosts: ko1213131
    O1 - Hosts: ko1213131
    O1 - Hosts: ko1213131
    O1 - Hosts: ko1213131
    O1 - Hosts: ko1213131
    O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (file missing)
    O4 - HKCU\..\Run: [d172d308488d04b940cefc4f] iexplore.exe
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    TerminateProcessByName('c:\users\log4\appdata\local\temp\3fcd3.exe');
     QuarantineFile('c:\users\log4\appdata\local\temp\3fcd3.exe','');
     DeleteFile('c:\users\log4\appdata\local\temp\3fcd3.exe');
     DeleteFile('C:\Users\Log4\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\africa.bmp');
     DeleteFile('C:\Windows\Tasks\97r90g.job');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Цитата Сообщение от Zeb Посмотреть сообщение
    дешифровку
    Написал ведь
    Цитата Сообщение от thyrex Посмотреть сообщение
    Дешифратором для данной модификации пока никто не поделился
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    09.07.2013
    Сообщений
    6
    Вес репутации
    17
    Карантин отослал.
    Дешифратор пытаюсь как сам найти, так и на других форумах людей озадачить. Так например DrWeb вроде бы как не прочь помочь.
    Спасибо за помощь.

    - - - Добавлено - - -

    Карантин отослал.
    Дешифратор пытаюсь как сам найти, так и на других форумах людей озадачить. Так например DrWeb вроде бы как не прочь помочь.
    Спасибо за помощь.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,384
    Вес репутации
    3019
    Цитата Сообщение от thyrex Посмотреть сообщение
    Сделайте новые логи
    Где?

    Цитата Сообщение от Zeb Посмотреть сообщение
    Дешифратор пытаюсь как сам найти
    Все что появляется - результат покупки кем-то из таких же пострадавших, как и Вы. Такое в последнее время редкость, увы

    Цитата Сообщение от Zeb Посмотреть сообщение
    DrWeb вроде бы как не прочь помочь.
    Обладателям лицензии
    Однако результат вряд ли будет...
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    09.07.2013
    Сообщений
    6
    Вес репутации
    17

    логи

    Сори, не всегда на одном месте сижу.

    По почте ответили:
    ... Для разблокировки и получения дешифратора, Вам необходимо
    пожертвовать детям африки 2 биткоина при помощи электронного платежа.
    ... .Мы сожалеем ,что таким нелицеприятным способом просим помощь ,но уверяем вас ,мы не желаем зла и все ваши файлы вернуться.
    Счас озадачим наших хвинансистов.
    Вложения Вложения

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,384
    Вес репутации
    3019
    Если купите, можете поделиться дешифратором

    В этих логах порядок
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    09.07.2013
    Сообщений
    6
    Вес репутации
    17
    Ну... оплатят только при выявлении виновного. Узнать бы как вирус называется хотя бы, дабы точно сказать, что атака была именно с этого компьютера. Тогда владелец агрегата заплатит за восстановление.
    Спасибо за помощь.

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,384
    Вес репутации
    3019
    Ищите того, кто получил письмо якобы из суда или т.п. и запустил вложение к нему
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    09.07.2013
    Сообщений
    6
    Вес репутации
    17
    Только узнал, что биткоинт счас идёт по курсу 1=77$. Тобишь за дешифратор просят пять с лишним тысяч рублей. Поковырялся с письмами от "детей Африки", всё валится с Калифорнийских айпишнегов. Домен safrica.com тоже в Америке зарегистрирован. Так что не будем мы им платить. Жадные они.

    - - - Добавлено - - -

    Только узнал, что биткоинт счас идёт по курсу 1=77$. Тобишь за дешифратор просят пять с лишним тысяч рублей. Поковырялся с письмами от "детей Африки", всё валится с Калифорнийских айпишнегов. Домен safrica.com тоже в Америке зарегистрирован. Так что не будем мы им платить. Жадные они.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\users\\log4\\appdata\\local\\temp\\3fcd3.exe - Trojan.Win32.Jorik.Buterat.ajax ( BitDefender: Trojan.CryptRedol.Gen.3, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Zeb, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. .tutu@safrica.com_X27
      От Алексей Бабичев в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 09.07.2013, 15:21
    2. Зашифрованы файлы вирусом .tutu@safrica.com_X8
      От Севка в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 09.07.2013, 13:12
    3. Шифратор
      От СерегаЗ в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 03.07.2013, 14:15
    4. Вирус шифратор.
      От d3v1 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 07.05.2012, 17:29
    5. Троянец-шифратор.
      От RainDrops в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 28.10.2009, 17:58

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01478 seconds with 17 queries