Показано с 1 по 14 из 14.

вирус, который шифрует файлы типов doc, pdf, jpeg, dbf и внешний винт (заявка № 148170)

  1. #1
    Junior Member Репутация
    Регистрация
    26.10.2013
    Сообщений
    7
    Вес репутации
    16

    Thumbs up вирус, который шифрует файлы типов doc, pdf, jpeg, dbf и внешний винт

    На днях на почтовый ящик пришло письмо. После открытия письма появилось сообщение:
    "БЕЗ ПАНИКИ ГОСПОДА! Салют человеки. Наши быстроходне катера атаковали ваш файловоз. Ваш компьютер взят на абордаж командой Нигерийских пиратов. Ваши файлы зашифрованы нашими морским криптографом Абуджа Бином. Если вы не крикливая политическая проститутка из фракции ЛДПР, то мы готовы обменять вашу драгоценную инфу на жалкие бумажки именуемые бабками. Поверьте бабло, это зло, отдайте его нам. М используем его во благо. Вся африка будет за вас молиться. Алчных и неадекватных типов за борт. Веселым и находчивым скидки. SOS на мыло. MBOAUE@AOL.COM."
    при загрузки системы файлы типа doc, pdf, dbf, jpeg перестали открываться.

    Пишу с зараженного компьютера.

    Еще вопрос, если я подключал внешний винчестер, когда компьютер уже был заражен и перекинул на него один зашифрованный (зараженный) файл - то заразились ли ВСЕ файлы на винчестере? вирус перекинулся на винчестер и будет распространяться? и как это проверить?
    На вичестере вся самая важная информация, и как его можно будет вылечить в случае чего?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) freek, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Users\InStyle\AppData\Local\Temp\3feca.exe','');
     QuarantineFile('C:\PROGRA~3\Mozilla\xgicssb.dll','');
     DeleteFile('C:\PROGRA~3\Mozilla\xgicssb.dll','32');
     DeleteFile('C:\Users\InStyle\AppData\Local\Temp\3feca.exe','32');
     DeleteFile('C:\Windows\Tasks\402m.job','64');
     DeleteFile('C:\Windows\system32\Tasks\402m','64');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(8); 
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    + пришлите зашифрованный файл небольшого размера
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    26.10.2013
    Сообщений
    7
    Вес репутации
    16
    Прислать запрошенный карантин - сделано.
    http://files.mail.ru/A5CD0A690659462EA7AF41E8CCE0FE2D - семена заказ.docx.HELP@AUSI - зараженный файл ( во вложение я не смог добавить)

    логи - это только HijackThis ? ДОБАВЛЕНО

    Ситуация по винчестеру- все файлы заражены - когда вы пришлете лекарство для моего компьютера я смогу вылечить файлы на винчестере? мне нужно будет их перекидывать с винта на комп?

    Спасибо
    Вложения Вложения
    Последний раз редактировалось freek; 26.10.2013 в 18:07.

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Цитата Сообщение от freek Посмотреть сообщение
    логи - это только HijackThis ?
    и логи AVZ тоже

    - - - Добавлено - - -

    Как-то странно, что расширение присланного файла не соответствует адресу почты, на которую просят обратиться
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    26.10.2013
    Сообщений
    7
    Вес репутации
    16
    да вы правы - я текст полностью скопировал из другой темы. в моем случае нужно обратиться по адресу help@ausi.com

    файлы логов автоматически самозаменяются? я еще раз запустил "стандартные скрипты" второй, потом третий пункт. и высылаю логи из папки avz4/LOG
    Вложения Вложения

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    DeleteFile('C:\Users\InStyle\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LRGFNZV3\348[1].html','32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    В остальном порядок

    Дешифратором пока никто не поделился
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    26.10.2013
    Сообщений
    7
    Вес репутации
    16
    спасибо за оперативные ответы - сейчас запущу

  10. #9
    Junior Member Репутация
    Регистрация
    26.10.2013
    Сообщений
    7
    Вес репутации
    16
    А примерно когда дешифратором поделятся? сколько на это может уйти времени?

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Могут и не поделиться. В последнее время такое происходит в 1% случае, а может и того меньше
    Жадный народ стал, или авторы шифровальщика запугали
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    26.10.2013
    Сообщений
    7
    Вес репутации
    16
    up!

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Ничего нового
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    26.10.2013
    Сообщений
    7
    Вес репутации
    16
    мои результаты по данному вопросу:
    1) я писал мошенникам они просят 16 000 рублей, но можно попросить скидку и они могут снизить до 10к.

    2) мне помогла программа дешифратор от dr.web
    http://files.mail.ru/C0F4068A510B4ACF8284C9C209E1FC9D

    фрагмент переписки со службой поддержки:
    Ваши сотрудники прислали мне дешифратор te102decrypt я задал вопрос:
    "> Я скачал te102decrypt и куда нужно прописывать эту строку?
    Мне ответили :
    К примеру, если Вы хотите запустить утилиту с параметрами "-k h49 -e .HELP@AUSI.COM_XO100":
    1. Скопируйте файл te102decrypt.exe в корень диска C:.
    2. Перейдите в меню "Пуск" - "Все программы" - "Стандартные" - "Командная строка".
    3. В открывшемся окне командной строки введите команду:
    C:\te102decrypt.exe -k h49 -e .HELP@AUSI.COM_XO100
    и нажмите Enter на клавиатуре."

    Я сложил файлы для лечения в папку d:\1 + я туда положил te102decrypt.exe
    в командной строке я прописал: d:\1\te102decrypt.exe -k h49 -e .HELP@AUSI.COM_XO100

    но дешифратор почему то начал расшифровывать все файлы только на диске С, и не расшифровал не одного файла на диске D.
    чтобы вылечить файлы в папке d:\1 , какую команду мне нужно прописать?
    ОТВЕТ
    Команда должна быть такой:
    d:\1\te102decrypt.exe -k h49 -e .HELP@AUSI.COM_XO100 -path d:\1
    ( то есть как я понял первый путь это где лежит программа, а второй путь (вконце строки) та папка которую нада вылечить)
    восстановление файлов на ~80%

    если не указывать "-path" в конце строки, то программа будет расшифровывать диск С, и если вы несколько раз ее запустите, то рядом с зашифрованным файлом будет уже несколько копий восстановленных - имейте это ввиду

    удачи, и не нажимайте на ЛЕВЫЕ ссылки

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\users\\instyle\\appdata\\local\\temp\\3feca.ex e - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Trojan.Heur.JP.iuW@amc1XOjk )


  • Уважаемый(ая) freek, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 4
      Последнее сообщение: 15.07.2013, 09:41
    2. Какие файлы шифрует вирус?
      От akbyn в разделе Шифровальщики
      Ответов: 3
      Последнее сообщение: 15.05.2013, 20:57
    3. Ответов: 15
      Последнее сообщение: 15.04.2013, 10:49
    4. вирус шифрует файлы .xls, *.doc, *pdf, *.jpg
      От aeroden в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.11.2012, 17:47
    5. Вирус шифрует файлы
      От Diklit в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.09.2012, 15:58

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01194 seconds with 17 queries