Показано с 1 по 19 из 19.

Файлы пользователя зашифрованы Support@casinomtgox.com [Trojan-Ransom.Win32.Rector.in ] (заявка № 159681)

  1. #1
    Junior Member Репутация
    Регистрация
    15.05.2014
    Адрес
    СПб
    Сообщений
    11
    Вес репутации
    14

    Файлы пользователя зашифрованы Support@casinomtgox.com [Trojan-Ransom.Win32.Rector.in ]

    Суть проблемы: В бухгалтерии произошёл сбой работы программы, при беглом анализе было выявлено, что почти все файлы с расширениями doc, dbf, xls, pdf, jpg получили расширение Support@casinomtgox.com и переименованием проблема не решается. Была заражена как машина пользователя, так и сетевой диск к которому этот пользователь имел доступ. К обязательному списку файлов добавляю проблемные файлы для анализа и поиска дешифратора.
    Вложения Вложения
    Последний раз редактировалось aes222ripn; 15.05.2014 в 12:14.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,458
    Вес репутации
    343
    Уважаемый(ая) aes222ripn, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,377
    Вес репутации
    1028
    В MBAM удалите все найденное. После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  5. #4
    Junior Member Репутация
    Регистрация
    15.05.2014
    Адрес
    СПб
    Сообщений
    11
    Вес репутации
    14

    Логи AVZ и hijackthis обновил

    Логи AVZ и hijackthis обновил, найденное mbam - удалил, повторная проверка затянулась, как только закончится, обновлю лог mbam. Вопрос, когда можно будет получить декриптор, что бы восстановить зашифрованные файлы?
    Вложения Вложения

  6. #5
    Junior Member Репутация
    Регистрация
    15.05.2014
    Адрес
    СПб
    Сообщений
    11
    Вес репутации
    14

    Удалил ВСЁ найденное MBAM и высылаю лог

    Цитата Сообщение от mike 1 Посмотреть сообщение
    В MBAM удалите все найденное. После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
    Удалил ВСЁ найденное MBAM и высылаю лог. Жду решения о расшифровке файлов пользователя.
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,377
    Вес репутации
    1028
    Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму сохраните в блокноте под именем VirusDetector и прикрепите его в виде текстового файла в вашей теме.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.


    Подробнее читайте в этом руководстве.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  8. #7
    Junior Member Репутация
    Регистрация
    15.05.2014
    Адрес
    СПб
    Сообщений
    11
    Вес репутации
    14

    Проверку провёл

    Высылаю логи, надеюсь получить декриптор для зашифрованных файлов.
    Хочу отметить, что проверка производится на относительно чистой машине с подключённым винчестером от заражённой машины и соответсвенно вирусы и зашифрованные файлы находятся на дисках F:\ и G:\, а так же в сетевой папке B:\
    Половина из указанных Вами программ в штатном режиме не лезет на эти диски, проверяя только c:\, может мне стоит немного изменить процедуру проверки или попытаться выполнять её запустив заражённый компьютер?
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,377
    Вес репутации
    1028
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
    • По окончанию сканирования снимите галочки со следующих строк:
      Код:
      Папка Найдено : C:\Program Files\Yandex
      Папка Найдено : C:\ProgramData\Yandex
      Папка Найдено : C:\Users\Andrey\AppData\Local\Yandex
      Папка Найдено : C:\Users\Andrey\AppData\LocalLow\Yandex
      Папка Найдено : C:\Users\Andrey\AppData\Roaming\Yandex
    • Нажмите кнопку "Clean" и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению

    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.

    Файлы без оригинального дешифратора не получится восстановить.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  10. #9
    Junior Member Репутация
    Регистрация
    15.05.2014
    Адрес
    СПб
    Сообщений
    11
    Вес репутации
    14

    Очиска в AdwCleaner v3.210 проведена

    Всё подчистил.

    Что нужно, что бы восстановить зашифрованные файлы?
    Какова вероятность их расшифровки???
    Я в Вашем форуме видел, что кому то Вы помогли восстановить файлы, предоставив дешифратор.
    У меня есть честная лицензия KAV, но их тех.поддержка вообще не отвечает :-(

    - - - Добавлено - - -

    Цитата Сообщение от mike 1 Посмотреть сообщение
    Файлы без оригинального дешифратора не получится восстановить.
    Нашёл у Вас на форуме, что можно попробовать RectorDecryptor и XoristDecryptor - ректор по крайней мере смог определить наличие зашифрованных файлов, а хорист ничего не нашёл.

    Код:
    16:21:53.0092 0x2350  Trojan-Ransom.Win32.Rector decryptor tool 2.6.24.0 Apr 23 2014 22:48:52
    16:21:55.0092 0x2350  ============================================================
    16:21:55.0092 0x2350  Current date / time: 2014/05/20 16:21:55.0092
    16:21:55.0092 0x2350  SystemInfo:
    16:21:55.0092 0x2350  
    16:21:55.0092 0x2350  OS Version: 6.1.7601 ServicePack: 1.0
    16:21:55.0092 0x2350  Product type: Workstation
    16:21:55.0092 0x2350  ComputerName: ANDREY-W7
    16:21:55.0092 0x2350  UserName: Andrey
    16:21:55.0092 0x2350  Windows directory: C:\Windows
    16:21:55.0092 0x2350  System windows directory: C:\Windows
    16:21:55.0092 0x2350  Processor architecture: Intel x86
    16:21:55.0092 0x2350  Number of processors: 4
    16:21:55.0092 0x2350  Page size: 0x1000
    16:21:55.0092 0x2350  Boot type: Normal boot
    16:21:55.0092 0x2350  ============================================================
    16:21:55.0093 0x2350  Initialize success
    16:24:06.0051 0x252c  ProcessDriveEnumEx: Drive B:\ type 4:0
    16:24:06.0051 0x252c  ProcessDriveEnumEx: Drive C:\ type 3:0
    16:24:06.0051 0x252c  ProcessDriveEnumEx: Drive D:\ type 3:0
    16:24:06.0051 0x252c  ProcessDriveEnumEx: Drive E:\ type 5:0
    16:24:06.0051 0x252c  ProcessDriveEnumEx: Drive F:\ type 2:0
    16:24:06.0141 0x252c  Found suspicious file: F:\$RECYCLE.BIN\S-1-5-21-2024182186-3713291217-3137328193-1000\$R02JVJ5\5f9710e1414e.jpg.Support@casinomtgox.com
    16:24:07.0231 0x252c  This is Trojan-Ransom.Win32.Rector, but key not found for file: F:\$RECYCLE.BIN\S-1-5-21-2024182186-3713291217-3137328193-1000\$R02JVJ5\5f9710e1414e.jpg.Support@casinomtgox.com
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,377
    Вес репутации
    1028
    Что нужно, что бы восстановить зашифрованные файлы?
    Нужно чтобы кто-то поделился дешифратором для этого варианта.

    Какова вероятность их расшифровки???
    Шансов мало.

    Я в Вашем форуме видел, что кому то Вы помогли восстановить файлы, предоставив дешифратор.
    Кому возможно было помочь тем помогли. Здесь пока помочь нельзя.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  12. Это понравилось:


  13. #11
    Junior Member Репутация
    Регистрация
    15.05.2014
    Адрес
    СПб
    Сообщений
    11
    Вес репутации
    14

    Образцы файлов до и после шифрования

    Вот один из файлов базы данных пострадавших от шифрования, есть пустая и заполненная база, соответсвенно в пустой только названия полей без цифр. Зашифрованные файлы так же есть как с пустой так и с заполненной базой. Надеюсь удастся подобрать ключ по этим файлам.
    Вложения Вложения

  14. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,377
    Вес репутации
    1028
    Надеюсь удастся подобрать ключ по этим файлам
    Не удастся потому что используется криптография RSA.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  15. #13
    Junior Member Репутация
    Регистрация
    15.05.2014
    Адрес
    СПб
    Сообщений
    11
    Вес репутации
    14
    Нашёл у пользователя папку с "иероглифами" (Мои докуÐ& #188;енты) в названии и внутри папка downloads - в которой лежали не зашифрованные файлы. Копии некоторых из этих файлов есть в других папках в зашифрованном виде. Жаль, что это не поможет в расшифровке

  16. #14
    Junior Member Репутация
    Регистрация
    15.05.2014
    Адрес
    СПб
    Сообщений
    11
    Вес репутации
    14
    Нашёл тело вируса Rector - зазиповал с паролем virus и отправил Вам.

  17. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,377
    Вес репутации
    1028
    Присланный файл уже детектируется как Trojan-Ransom.Win32.Rector.in в написании дешифратора он не поможет.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  18. #16
    Junior Member Репутация
    Регистрация
    15.05.2014
    Адрес
    СПб
    Сообщений
    11
    Вес репутации
    14
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Присланный файл уже детектируется как Trojan-Ransom.Win32.Rector.in в написании дешифратора он не поможет.
    Печально, что же, будем ждать...
    Меня другое огорчило, кроме Каперского и NOD32 этот вирус практически никто и не детектирует:
    Код:
    https://www.virustotal.com/ru/file/ceeb7b795328d2767506bafab5c9eccb62b6aac89cd38dcfdc9ed519ea995967/analysis/1400832996/
    
    Программа / Название вируса / антивирусная база
    ========================================
    AntiVir 	TR/Dropper.VB.Gen2 	20140523
    ESET-NOD32 	Win32/Filecoder.AL.Gen 	20140523
    Kaspersky 	Trojan-Ransom.Win32.Rector.in 	20140523
    Qihoo-360 	Malware.QVM10.Gen 	20140523 
    ...
    эти считают файл чистым от вирусов, хотя вирус только у меня уже более недели, а вообще он древний, я на форумах о нём нашёл записи с 2011 года, а проблема появилась намного раньше.
    Avast 		20140523 
    ClamAV 		20140523 
    Comodo 		20140523
    DrWeb 		20140523
    Malwarebytes 		20140523
    McAfee 		20140523
    McAfee-GW-Edition 		20140523 
    Microsoft 		20140523 
    Symantec 		20140523

  19. #17
    Junior Member Репутация
    Регистрация
    15.05.2014
    Адрес
    СПб
    Сообщений
    11
    Вес репутации
    14

    Получил Дешифратор от NOD32 - всё расшифровывается нормально :)

    Хочу поделиться радостью, мне ответили ребята из NOD32 - прислали дешифратор, процесс рашифровки во всю идёт - всё расшифровывется без проблем из 5-8тысяч файлов не более 1% битых, в основном .dbf :-)

    Код:
    Здравствуйте!
    
    В приложенном архиве находится дешифратор (пароль на архив: clean).
    
    Запуск дешифратора необходимо производить через командную строку (Пуск - Все программы - Стандартные - Командная строка, для Windows 7 необходимо запускать командную строку от имени администратора).
    
    Скопируйте файлы из архива, к примеру, в корень диска C:\.
    
    В командной строке введите путь к папке, в которой находится декодер, например: cd c:\ и нажмите Enter.
    
    Использование:
    
    ESETFilecoderWCleaner.exe /b <имя файла или директории>
    
    Примеры использования:
    Для обработки одного файла - используйте "ESETFilecoderWCleaner.exe /b C:\the_it.pdf".
    Пожалуйста, будьте внимательны и запишите имя файла "как есть" (с прописными и строчными буквами).
    Для того, чтобы обработать все зашифрованные файлы, к примеру, в директории C:\photo и всех её подкаталогах, используйте "ESETFilecoderWCleaner.exe /b C:\photo"
    
    Мы рекомендуем попробовать дешифрацию только одного файла, чтобы убедиться, что это правильная версия декодера!
    Если версия декодера не соответствует требуемой, файлы будут неправильно дешифрованы.
    
    http://yadi.sk/d/8Ryae0N4S6gNt
    пароль: clean
    Проясню для ясности:

    У меня есть корпоративная лицензия на Касперского и там мне сказали, что пока нет дешифратора и соответсвенно ничем не могут помочь. Я обратился на этот форум, к Др.Вебу и в NOD32. Др.Веб не смог определить вирус в присланном файле с вирусом и не отвечал на дальнейшие вопросы ибо помощь только "клиентам". А вот в NOD32 заинтересовались и довольно быстро (спустя примерно неделю после обращения) прислали архив с дешифровщиком и инструкцией по расшифровке. Из примерно 5-8тысяч файлов примерно 1% битых т.е. расшифровщик написал, что расшифровать не удалось и это как правило относилось к базам данных dbf. Расшифровывает очень быстро, результат видно сразу т.е. натравил расшифровщик на диск и следя за процессом проверял расшифрованные файлы.
    Последний раз редактировалось aes222ripn; 03.06.2014 в 16:16.

  20. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,377
    Вес репутации
    1028
    Повезло вам.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  21. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. \temp.rar - Trojan-Ransom.Win32.Rector.in


  • Уважаемый(ая) aes222ripn, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 22
      Последнее сообщение: 09.12.2014, 00:53
    2. Ответов: 13
      Последнее сообщение: 06.04.2014, 11:03
    3. Ответов: 9
      Последнее сообщение: 05.04.2014, 15:01
    4. Ответов: 9
      Последнее сообщение: 23.03.2014, 11:30
    5. Файлы зашифрованы на Support@casinomtgox.com_lot2007
      От komdiv в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 14.03.2014, 20:34

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00401 seconds with 17 queries