Файлы пользователя зашифрованы [email protected] [Trojan-Ransom.Win32.Rector.in ]

[aes222ripn]

Суть проблемы: В бухгалтерии произошёл сбой работы программы, при беглом анализе было выявлено, что почти все файлы с расширениями doc, dbf, xls, pdf, jpg получили расширение [email protected] и переименованием проблема не решается. Была заражена как машина пользователя, так и сетевой диск к которому этот пользователь имел доступ. К обязательному списку файлов добавляю проблемные файлы для анализа и поиска дешифратора.

[Info_bot]

Уважаемый(ая) aes222ripn, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

В MBAM удалите все найденное. После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

[aes222ripn]

Логи AVZ и hijackthis обновил, найденное mbam - удалил, повторная проверка затянулась, как только закончится, обновлю лог mbam. Вопрос, когда можно будет получить декриптор, что бы восстановить зашифрованные файлы?

[aes222ripn]

В MBAM удалите все найденное. После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

Удалил ВСЁ найденное MBAM и высылаю лог. Жду решения о расшифровке файлов пользователя.

[mike 1]

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму сохраните в блокноте под именем VirusDetector и прикрепите его в виде текстового файла в вашей теме.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[aes222ripn]

Высылаю логи, надеюсь получить декриптор для зашифрованных файлов.
Хочу отметить, что проверка производится на относительно чистой машине с подключённым винчестером от заражённой машины и соответсвенно вирусы и зашифрованные файлы находятся на дисках F:\ и G:\, а так же в сетевой папке B:\
Половина из указанных Вами программ в штатном режиме не лезет на эти диски, проверяя только c:\, может мне стоит немного изменить процедуру проверки или попытаться выполнять её запустив заражённый компьютер?

[mike 1]

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
• По окончанию сканирования снимите галочки со следующих строк:
  
  Код:

  Папка Найдено : C:\Program Files\Yandex
  Папка Найдено : C:\ProgramData\Yandex
  Папка Найдено : C:\Users\Andrey\AppData\Local\Yandex
  Папка Найдено : C:\Users\Andrey\AppData\LocalLow\Yandex
  Папка Найдено : C:\Users\Andrey\AppData\Roaming\Yandex

• Нажмите кнопку "Clean" и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Файлы без оригинального дешифратора не получится восстановить.

[aes222ripn]

Всё подчистил.

Что нужно, что бы восстановить зашифрованные файлы?
Какова вероятность их расшифровки???
Я в Вашем форуме видел, что кому то Вы помогли восстановить файлы, предоставив дешифратор.
У меня есть честная лицензия KAV, но их тех.поддержка вообще не отвечает :-(

- - - Добавлено - - -

Файлы без оригинального дешифратора не получится восстановить.

Нашёл у Вас на форуме, что можно попробовать RectorDecryptor и XoristDecryptor - ректор по крайней мере смог определить наличие зашифрованных файлов, а хорист ничего не нашёл.

Код:

16:21:53.0092 0x2350  Trojan-Ransom.Win32.Rector decryptor tool 2.6.24.0 Apr 23 2014 22:48:52
16:21:55.0092 0x2350  ============================================================
16:21:55.0092 0x2350  Current date / time: 2014/05/20 16:21:55.0092
16:21:55.0092 0x2350  SystemInfo:
16:21:55.0092 0x2350  
16:21:55.0092 0x2350  OS Version: 6.1.7601 ServicePack: 1.0
16:21:55.0092 0x2350  Product type: Workstation
16:21:55.0092 0x2350  ComputerName: ANDREY-W7
16:21:55.0092 0x2350  UserName: Andrey
16:21:55.0092 0x2350  Windows directory: C:\Windows
16:21:55.0092 0x2350  System windows directory: C:\Windows
16:21:55.0092 0x2350  Processor architecture: Intel x86
16:21:55.0092 0x2350  Number of processors: 4
16:21:55.0092 0x2350  Page size: 0x1000
16:21:55.0092 0x2350  Boot type: Normal boot
16:21:55.0092 0x2350  ============================================================
16:21:55.0093 0x2350  Initialize success
16:24:06.0051 0x252c  ProcessDriveEnumEx: Drive B:\ type 4:0
16:24:06.0051 0x252c  ProcessDriveEnumEx: Drive C:\ type 3:0
16:24:06.0051 0x252c  ProcessDriveEnumEx: Drive D:\ type 3:0
16:24:06.0051 0x252c  ProcessDriveEnumEx: Drive E:\ type 5:0
16:24:06.0051 0x252c  ProcessDriveEnumEx: Drive F:\ type 2:0
16:24:06.0141 0x252c  Found suspicious file: F:\$RECYCLE.BIN\S-1-5-21-2024182186-3713291217-3137328193-1000\$R02JVJ5\[email protected]
16:24:07.0231 0x252c  This is Trojan-Ransom.Win32.Rector, but key not found for file: F:\$RECYCLE.BIN\S-1-5-21-2024182186-3713291217-3137328193-1000\$R02JVJ5\[email protected]

[mike 1]

Что нужно, что бы восстановить зашифрованные файлы?

Нужно чтобы кто-то поделился дешифратором для этого варианта.

Какова вероятность их расшифровки???

Шансов мало.

Я в Вашем форуме видел, что кому то Вы помогли восстановить файлы, предоставив дешифратор.

Кому возможно было помочь тем помогли. Здесь пока помочь нельзя.

[aes222ripn]

Вот один из файлов базы данных пострадавших от шифрования, есть пустая и заполненная база, соответсвенно в пустой только названия полей без цифр. Зашифрованные файлы так же есть как с пустой так и с заполненной базой. Надеюсь удастся подобрать ключ по этим файлам.

[mike 1]

Надеюсь удастся подобрать ключ по этим файлам

Не удастся потому что используется криптография RSA.

[aes222ripn]

Нашёл у пользователя папку с "иероглифами" (Мои докуÐ& #188;енты) в названии и внутри папка downloads - в которой лежали не зашифрованные файлы. Копии некоторых из этих файлов есть в других папках в зашифрованном виде. Жаль, что это не поможет в расшифровке

[aes222ripn]

Нашёл тело вируса Rector - зазиповал с паролем virus и отправил Вам.

[mike 1]

Присланный файл уже детектируется как Trojan-Ransom.Win32.Rector.in в написании дешифратора он не поможет.

[aes222ripn]

Присланный файл уже детектируется как Trojan-Ransom.Win32.Rector.in в написании дешифратора он не поможет.

Печально, что же, будем ждать...
Меня другое огорчило, кроме Каперского и NOD32 этот вирус практически никто и не детектирует:

Код:

https://www.virustotal.com/ru/file/ceeb7b795328d2767506bafab5c9eccb62b6aac89cd38dcfdc9ed519ea995967/analysis/1400832996/

Программа / Название вируса / антивирусная база
========================================
AntiVir 	TR/Dropper.VB.Gen2 	20140523
ESET-NOD32 	Win32/Filecoder.AL.Gen 	20140523
Kaspersky 	Trojan-Ransom.Win32.Rector.in 	20140523
Qihoo-360 	Malware.QVM10.Gen 	20140523 
...
эти считают файл чистым от вирусов, хотя вирус только у меня уже более недели, а вообще он древний, я на форумах о нём нашёл записи с 2011 года, а проблема появилась намного раньше.
Avast 		20140523 
ClamAV 		20140523 
Comodo 		20140523
DrWeb 		20140523
Malwarebytes 		20140523
McAfee 		20140523
McAfee-GW-Edition 		20140523 
Microsoft 		20140523 
Symantec 		20140523

[aes222ripn]

Хочу поделиться радостью, мне ответили ребята из NOD32 - прислали дешифратор, процесс рашифровки во всю идёт - всё расшифровывется без проблем из 5-8тысяч файлов не более 1% битых, в основном .dbf :-)

Код:

Здравствуйте!

В приложенном архиве находится дешифратор (пароль на архив: clean).

Запуск дешифратора необходимо производить через командную строку (Пуск - Все программы - Стандартные - Командная строка, для Windows 7 необходимо запускать командную строку от имени администратора).

Скопируйте файлы из архива, к примеру, в корень диска C:\.

В командной строке введите путь к папке, в которой находится декодер, например: cd c:\ и нажмите Enter.

Использование:

ESETFilecoderWCleaner.exe /b <имя файла или директории>

Примеры использования:
Для обработки одного файла - используйте "ESETFilecoderWCleaner.exe /b C:\the_it.pdf".
Пожалуйста, будьте внимательны и запишите имя файла "как есть" (с прописными и строчными буквами).
Для того, чтобы обработать все зашифрованные файлы, к примеру, в директории C:\photo и всех её подкаталогах, используйте "ESETFilecoderWCleaner.exe /b C:\photo"

Мы рекомендуем попробовать дешифрацию только одного файла, чтобы убедиться, что это правильная версия декодера!
Если версия декодера не соответствует требуемой, файлы будут неправильно дешифрованы.

http://yadi.sk/d/8Ryae0N4S6gNt
пароль: clean

Проясню для ясности:

У меня есть корпоративная лицензия на Касперского и там мне сказали, что пока нет дешифратора и соответсвенно ничем не могут помочь. Я обратился на этот форум, к Др.Вебу и в NOD32. Др.Веб не смог определить вирус в присланном файле с вирусом и не отвечал на дальнейшие вопросы ибо помощь только "клиентам". А вот в NOD32 заинтересовались и довольно быстро (спустя примерно неделю после обращения) прислали архив с дешифровщиком и инструкцией по расшифровке. Из примерно 5-8тысяч файлов примерно 1% битых т.е. расшифровщик написал, что расшифровать не удалось и это как правило относилось к базам данных dbf. Расшифровывает очень быстро, результат видно сразу т.е. натравил расшифровщик на диск и следя за процессом проверял расшифрованные файлы.

[mike 1]

Повезло вам.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. \temp.rar - Trojan-Ransom.Win32.Rector.in