Зашифрованы файлы. Trojan-Ransom.Win32.Agent.iab

**George Peregnac** · 10.01.2014, 18:16

Видимо, я не первый, кто обратился с подобной темой, но та же самая ситуация. Работаю в организации, на один из почтовых ящиков пришло письмо от "арбитражного суда". Что и следовало ожидать, его открыли, не смотря на ругань касперского и тд. В письме была ссылка на файл, в котором касперский обнаружил Trojan-Ransom.Win32.Agent.iab. Машина ушла в себя, спустя какое то время работы, а после перезагрузки множество файлов оказалось зашифровано. Допускаю, что были попытки самолечения, но не смотря на это, все необходимые инструкции выполнил. необходимое лежит во вложении, в том числе и пример зашифрованного файла. Буду признателен за помощь, ибо информация на данной машине имеет большую ценность.

С уважением. Антон

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 10.01.2014, 18:18

Уважаемый(ая) George Peregnac, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 10.01.2014, 19:26

SearchProtect, DSite удалите через установку и удаление программ

Сделайте лог полного сканирования МВАМ

**George Peregnac** · 12.01.2014, 14:20

Смогу сделать это завтра, ибо сегодня не имею доступа к машине, а пока поясню некоторые подробности.

http://virusinfo.info/showthread.php?t=152954
Вот, точный аналог. Тот же адрес, только наш идентификатор - s10. Письмо от "бухого санты", думаю, не имеет смысла прикладывать. А то мало ли, забанят ещё

**George Peregnac** · 13.01.2014, 14:47

куда делись мои последние сообщения?
Лог MBAM вложил

**thyrex** · 13.01.2014, 22:22

Удалите в МВАМ только указанные ниже записи

Код:

Обнаруженные ключи в реестре:  4
HKCR\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1} (PUP.Optional.Conduit) -> Действие не было предпринято.
HKCU\Software\Conduit\FF (PUP.Optional.Conduit.A) -> Действие не было предпринято.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IECT3298108 (PUP.Optional.Conduit.A) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|BackgroundContainer (PUP.Optional.Conduit) -> Параметры: "C:\Windows\SysWOW64\Rundll32.exe" "C:\Users\dimon\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll",DllRun -> Действие не было предпринято.
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0M1S1H1K2U -> Действие не было предпринято.

Обнаруженные папки:  13
C:\Users\dimon\AppData\Roaming\DealPly (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Users\dimon\AppData\Roaming\DealPly\UpdateProc (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\ProgramData\Conduit\IE (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\ProgramData\Conduit\IE\CT3298108 (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Program Files (x86)\SearchProtect\UI\bin (PUP.Optional.SearchProtect.A) -> Действие не было предпринято.
C:\Program Files (x86)\SearchProtect\SearchProtect\bin (PUP.Optional.SearchProtect.A) -> Действие не было предпринято.

Обнаруженные файлы:  45
C:\$Recycle.Bin\S-1-5-21-2764570774-60338120-3505076636-1119\$RALXS1U.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.
C:\Program Files (x86)\Cocoon_software\Cocoon_softwareToolbarHelper.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Program Files (x86)\Conduit\Community Alerts\Alert.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Program Files (x86)\SearchProtect\SearchProtect\bin\cltmng.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Program Files (x86)\SearchProtect\UI\bin\cltmngui.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Users\dimon\AppData\Local\Conduit\CT3298108\Cocoon_softwareAutoUpdateHelper.exe (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Users\dimon\AppData\Local\Temp\nsd32DF.exe (PUP.Optional.SearchProtect.A) -> Действие не было предпринято.
C:\Users\dimon\AppData\Local\Temp\AU\SPSetup.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Users\dimon\AppData\Local\Temp\~nsu.tmp\Au_.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Users\dimon\AppData\LocalLow\Cocoon_software\hk64tbCoc0.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Users\dimon\AppData\LocalLow\Cocoon_software\hktbCoc0.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Users\dimon\AppData\LocalLow\Cocoon_software\ldrtbCoc0.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Users\dimon\AppData\LocalLow\Cocoon_software\tbCoc0.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Windows\Temp\nsj9E82.exe (PUP.Optional.SearchProtect.A) -> Действие не было предпринято.
C:\Windows\Temp\nsoED3E.exe (PUP.Optional.SearchProtect.A) -> Действие не было предпринято.
C:\Windows\Temp\nsy9D58.exe (PUP.Optional.SearchProtect.A) -> Действие не было предпринято.
C:\Windows\Temp\nsyA19B.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Users\dimon\AppData\Roaming\closer.exe (PUP.Optional.Smilapp) -> Действие не было предпринято.
C:\Users\dimon\AppData\Roaming\DealPly\UpdateProc\config.dat (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\ProgramData\Conduit\IE\CT3298108\configutaion.json (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\ProgramData\Conduit\IE\CT3298108\SetupIcon.ico (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\ProgramData\Conduit\IE\CT3298108\UninstallerUI.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.

**George Peregnac** · 14.01.2014, 11:36

Инструкции выполнил, просканировал заново, новый лог MBAM во вложении

**thyrex** · 14.01.2014, 22:37

Дешифратором пока никто не поделился

**George Peregnac** · 15.01.2014, 10:04

Этого ответа, собственно, я и боялся. Каковы тогда действия?

Можно ли сложить зашифрованные файлы в отдельное место и пользоваться машиной дальше?
Каковы шансы на то, что дешифратор для [email protected] s10 появится?

**thyrex** · 16.01.2014, 01:56

Сообщение от George Peregnac

Можно ли сложить зашифрованные файлы в отдельное место и пользоваться машиной дальше?

Пользуйтесь

Сообщение от George Peregnac

Каковы шансы на то, что дешифратор для [email protected] s10 появится?

Мизерные. Народ скупой пошел и не желает делиться дешифратором даже после покупки

**George Peregnac** · 16.01.2014, 09:14

Сообщение от thyrex

Пользуйтесь

Мизерные. Народ скупой пошел и не желает делиться дешифратором даже после покупки

Да уж...О времена, о нравы.

**George Peregnac** · 17.01.2014, 10:27

Ещё хотел спросить. Выцарапали логи с нашего почтового сервера по поводу того самого письма. Кое какие IP там фигурируют. Есть ли смысл с данной информацией обращаться с заявлением в соответствующие органы?