Показано с 1 по 9 из 9.

Очередной "пиратский" Trojan-Ransom.Win32

  1. #1
    Junior Member Репутация
    Регистрация
    16.10.2013
    Сообщений
    4
    Вес репутации
    16

    Очередной "пиратский" Trojan-Ransom.Win32

    Добрый день/ночь.

    Коллега получила на почту уже известное "постановление суда.EXE", отчего ее файлы известных всем форматов (доки, файлы 1С, картинки) навеки зашифрованы. К расширению файла добавляется .HELP@AUSI.COM_XO102. Просят хозяева 2 биткоина, не для себя, а для помощи африканским детям, однако же факты финансовой помощи детям предоставить отказываются и, более того не могут расшифровать мне 1 файл для образца.

    По факту:
    1. Сам exe'шник не определяется как инфицированный ни AVP, ни AVZ, ни DrWeb, ни MBAM, ни другими известными мне утилитами (в т.ч. в Safe Mode и LiveCD). На VirusTotal.com показатель выявления составил 16/45, чуть позже пришло письмо из ЛК с идентифицированным Trojan-Ransom.Win32.Crypren.pit
    2. Понимаю что видимо расшифровать файлы не получится, но у меня чувство что вирус где то засел, и его поиски уже дело принципа. Тем более комп состоит в сети. Точнее уже состоял.
    3. Интересный момент - в проводнике перестал работать поиск. Перелопатил все политики, ковырялся в процессах имеющих отношение к Explorer, но ничего так и не нашел. Все, что посчитал подозрительным сравнивал с норм. файлами, но все везде чисто. Ощущается нехватка опыта в этой сфере)
    4. Некоторые файлы частично восстановил через Ontrack EasyRecovery Professional. Ессно 100% нигде не восстановлено(

    Сразу оговорюсь - я не ITшник, просто хочу помочь человеку, и весь алгоритм моих действий - заслуга google.ru (спасибо ему!). Некоторые файлы очень ценны и за рабочий дешифратор вполне могу заплатить, с последующей закачкой в сеть для общего пользования.

    Логи+
    Архив с инфицированным "постановлением суда" и архив с примерами зашифрованных документов. Пароли к архивам: virus
    Вложения Вложения
    Последний раз редактировалось Никита Соловьев; 16.10.2013 в 19:31. Причина: Архив с вредоносной программой удалён из общего доступа.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    16.10.2013
    Сообщений
    4
    Вес репутации
    16
    Ура, сегодняшние базы Др.Вэба детектировали его как trojan.pws.gamania.7843

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Не надо выкладывать вирусы сюда!!!

    Если у Вас лицензионный Доктор Веб, то можно попросить помощи у них в ТП. У Доктора на форуме есть тема посвященная шифраторам, там и узнаете есть расшифровщик для Вас или нет.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.06.2006
    Сообщений
    103
    Вес репутации
    46
    Зловред кидает свой файл в папку Автозагрузка, например, C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Постановление суда.exe
    Поиск видимо не работает, что зловред что-то зашифровал в папке Windows

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,352
    Вес репутации
    3019
    В логах придраться не к чему
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    16.10.2013
    Сообщений
    4
    Вес репутации
    16
    За выложенный вирус не серчайте, не знал.

    Др.Вэб ессно демо, до этого на компе стоял Аваст. Одновременно отсылал файлы в Лабараторию Касперского и Др.Вэб (будучи уже на демо версии), последние до сих пор молчат, но на утро в обновленных сигнатурах вирус детектировался.
    Автозагрузка чиста абсолютно. Вчера много раз прогонял сис-му всяческими сканерами и нашел еще 2 его копии в system volume information, хотя восстановление сис-мы отключил сразу, как увидел вирус. Шустрый гад.

    - - - Добавлено - - -

    Будем искать дешифратор...)

  8. #7
    Junior Member Репутация
    Регистрация
    21.10.2013
    Сообщений
    1
    Вес репутации
    16
    Здравствуйте. Удалось ли найти дешифратор?

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Цитата Сообщение от Виталий Васильевич Посмотреть сообщение
    Ура, сегодняшние базы Др.Вэба детектировали его как trojan.pws.gamania.7843
    я бы так не радовался, это детект не шифровальщика, а трояна для воровства паролей от игр.

  10. #9
    Junior Member Репутация
    Регистрация
    16.10.2013
    Сообщений
    4
    Вес репутации
    16
    я это знаю, но плюс в том что он нашел его скрытые копии в закромах C:\Windows!! Кстати дешифровать файлы пока не получается. С помощью Power Shell подбираю всякие коды, которые выкладывают на Хабре, но пока результатов мало)

    а детектировал доктор именно шифровальщика, т.к. я сунул ему зараженный *.exe файл на проверку

Похожие темы

  1. Ответов: 4
    Последнее сообщение: 07.08.2013, 12:18
  2. Ответов: 4
    Последнее сообщение: 26.06.2013, 09:08
  3. Ответов: 12
    Последнее сообщение: 10.08.2012, 16:42
  4. Ответов: 11
    Последнее сообщение: 31.01.2012, 11:59
  5. Помогите победить вирус "Trojan-Ransom.Win32.Agent.g"
    От sergiosa в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 13.12.2009, 00:07

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01302 seconds with 17 queries