Показано с 1 по 8 из 8.

Шифровальщик send.letter@aol.com ( nochance ) (заявка № 150503)

  1. #1
    Junior Member Репутация
    Регистрация
    27.11.2013
    Адрес
    Москва
    Сообщений
    5
    Вес репутации
    16

    Шифровальщик send.letter@aol.com ( nochance )

    Словила девушка на работе(турфирма), отзвонилась поздно. Как стало понятно, что вирус, комп удалённо погасил сам. Текст стандартный,
    "Ваши файлы зашифрованы надежным криптостойким алгоритмом.
    Использование сторонних утилит может повредить файлы, сделав их непригодными к расшифровке.
    Для последующей расшифровки оставьте компьютер в текущем состоянии.
    Максимально время хранения вашего ключа составляет 2 суток. (до 29.11.2013)
    Любые обращения после 29.11.2013 будут игнорироваться.
    E-Mail: send.letter@aol.com
    В теме письма укажите ваш ID:808413723951
    Действия, которые могут привести к удалению ключа:
    - Запрос платежных реквизитов без последующей оплаты
    - Оскорбления
    - Угрозы"
    Перелопатил примерно 2/3 данных с диска Д.
    Дальше пошли приключения: прогнал не подключая к сети через hijackthis и оба теста AVZ
    Логи чистые, но напрягла запись "C:\Users\Администратор\AppData\Roaming\Microsoft\ Windows\Start Menu\Programs\Startup\_uninst_85907298.lnk". Параллельно, зачистил Тэмпы, изменения в System32, папки System Volume Information. (Естественно, через Live-CD и бэк-апя, всё есть в архивах)
    Посмотрел через HEX-Editor на этот самый lnk, увидел много интересного. По моему скромному мнению, это или активатор уже внедрённых процессов, или сам вирус, который ползёт в system32 и использует системные ресурсы под себя.
    Ну да бог с ним.
    Помимо всего прочего, решил проверить теорию о том, что после шифрования, вирус стирает "первоисточник". Прогнал комп GET NTFS Back-ом, увидел примерно треть файлов именно в удалённом состоянии. Рискну предположить, что механизм так и построен, но, впоследствии, вирус за собой "подчищает", и уже хрен что программно вытащишь.
    Ещё одним неприятным сюрпризом оказались перелопаченные исходные файлы Thunderbird и Firefox, переносил вручную, профилями, пропихивая на новую машину через запуск с ключом -p.
    В общем, когда уже всё вытащил и слегка подчистил, уже начал делать всё по науке, снова hijackthis и оба AVZ, но уже с подключением к сети, так что не удивляйтесь, что 2 подряд
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) gdtaipan, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    27.11.2013
    Адрес
    Москва
    Сообщений
    5
    Вес репутации
    16
    Вопрос на засыпку: как мне подсунуть вторую часть логов + нужен ли архив с самим зловредом?

    - - - Добавлено - - -

    Всё, что может понадобится "из-под карантина", могу прислать архивами, так что логами можете не заморачиваться, напишите откуда что надо, усё выдам в лучшем виде)

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,556
    Вес репутации
    3022
    Ничего плохого в логах
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    27.11.2013
    Адрес
    Москва
    Сообщений
    5
    Вес репутации
    16
    Да я в курсе, что ничего плохого в логах нет
    Вот тут интереснее

    system32_271113.rar - 2 невнятных файла с датой 27.11.13 из system32
    temp_user_с_датой_271013.rar - То же, но относящееся к пользователю
    TempАдмина.rar - Там всего 3 файла, но тоже с датой 27.11.13, хотя под админом никто и не заходил
    ВесьTempUserкроме271113.rar - вообще, всё, что есть в папке Temp пользователя
    ЯрлыкнаВирусизавтозагрузкиадмина.rar - тот самый вирус "C:\Users\Администратор\AppData\Roaming\Micros oft\ Windows\Start Menu\Programs\Startup\_uninst_85907298.lnk".
    зашифрованные фото.rar - 6 зашифрованных файлов
    Исходные фото - 6 исходных файлов
    текстовый файл контакты вирусописателя.rar - тот самый "Что делать"

    А Вот здесь уже вторые логи, с полключённым инетом и прочей радостью.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,556
    Вес репутации
    3022
    Цитата Сообщение от gdtaipan Посмотреть сообщение
    C:\Users\Администратор\AppData\Roaming\Microsoft\W indows\Start Menu\Programs\Startup\_uninst_85907298.lnk".
    "Хвост" от AVP Tool
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    27.11.2013
    Адрес
    Москва
    Сообщений
    5
    Вес репутации
    16
    Не использовали там AVP Tool ни коим образом)

    - - - Добавлено - - -

    Навели с других форумов, но пусть и тут будет:
    Вирус распространяется через почту с вложением в виде вордовского файла.
    В случае с этим чёртовым nochance, это файл "Резюме".
    Кстати говоря, могу его вечером личкой прислать, в запароленном архиве, ессесна.
    Проверил по своим курицам: В один офис пришло такое письмо. Они и сами посмотрели, и начальству переправили. У начальства этот файл не запустился. Доброе начальство отправило этот файл заму. В итоге, у зама всё посмотрелось в лучшем виде...
    В общем, минус 2 компа. 1 заменил, второй сегодня за-изолировал.

  9. #8
    Junior Member Репутация
    Регистрация
    27.11.2013
    Адрес
    Москва
    Сообщений
    5
    Вес репутации
    16
    А вот и готовое решение. Проверил на себе, всё расшифровалось!
    Берём дешифратор от докторвеба
    В зашифрованных ищите любой файл с расширением .doc
    (Если такового не имеется, то это решение Вам не подойдёт!)
    Запускаете дешифратор с ключами -m 4 (или в ярлыке прописываете, через пробел после te263decrypt.exe, или через выполнить/Run указываете)
    Дешифратор у вас попросит указать зашифрованный doc-файл. После того, как вы таковой ему укажете, начнётся процедура подбора паролей. Занять она может до 2-х суток. Как только дешифровщик находит нужное сочетание пароля, он начинает поиск и дешифрацию зашифрованных таким образом файлов на всех подключённых локальных дисках.
    При дешифрации сохраняются исходные зашифрованные файлы, просто к оным добавляется расшифрованный вариант.
    Контролировать ничего не нужно, вся процедура проходит в автоматическом режиме.
    По окончании, проверяете ваши файлы на целостность и пригодность, да и удаляете все эти nochance к чёртовой матери, если всё сошлось.

  • Уважаемый(ая) gdtaipan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. nochance зашифрованы файлы. мошенник send.letter@aol.com
      От EndLesSNesS в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 27.11.2013, 17:19
    2. И снова шифровальщик (NOCHANCE)
      От TMF в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 25.11.2013, 10:51
    3. Шифровальщик Nochance
      От s0.sunny в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 21.11.2013, 15:26
    4. Ответов: 3
      Последнее сообщение: 21.11.2013, 13:46
    5. Ответов: 1
      Последнее сообщение: 11.11.2013, 16:42

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01074 seconds with 17 queries