Суть проблемы: В бухгалтерии произошёл сбой работы программы, при беглом анализе было выявлено, что почти все файлы с расширениями doc, dbf, xls, pdf, jpg получили расширение [email protected] и переименованием проблема не решается. Была заражена как машина пользователя, так и сетевой диск к которому этот пользователь имел доступ. К обязательному списку файлов добавляю проблемные файлы для анализа и поиска дешифратора.
Последний раз редактировалось aes222ripn; 15.05.2014 в 13:14.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) aes222ripn, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Логи AVZ и hijackthis обновил, найденное mbam - удалил, повторная проверка затянулась, как только закончится, обновлю лог mbam. Вопрос, когда можно будет получить декриптор, что бы восстановить зашифрованные файлы?
Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму сохраните в блокноте под именем VirusDetector и прикрепите его в виде текстового файла в вашей теме.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Высылаю логи, надеюсь получить декриптор для зашифрованных файлов.
Хочу отметить, что проверка производится на относительно чистой машине с подключённым винчестером от заражённой машины и соответсвенно вирусы и зашифрованные файлы находятся на дисках F:\ и G:\, а так же в сетевой папке B:\
Половина из указанных Вами программ в штатном режиме не лезет на эти диски, проверяя только c:\, может мне стоит немного изменить процедуру проверки или попытаться выполнять её запустив заражённый компьютер?
Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
По окончанию сканирования снимите галочки со следующих строк:
Что нужно, что бы восстановить зашифрованные файлы?
Какова вероятность их расшифровки???
Я в Вашем форуме видел, что кому то Вы помогли восстановить файлы, предоставив дешифратор.
У меня есть честная лицензия KAV, но их тех.поддержка вообще не отвечает :-(
- - - Добавлено - - -
Сообщение от mike 1
Файлы без оригинального дешифратора не получится восстановить.
Нашёл у Вас на форуме, что можно попробовать RectorDecryptor и XoristDecryptor - ректор по крайней мере смог определить наличие зашифрованных файлов, а хорист ничего не нашёл.
Код:
16:21:53.0092 0x2350 Trojan-Ransom.Win32.Rector decryptor tool 2.6.24.0 Apr 23 2014 22:48:52
16:21:55.0092 0x2350 ============================================================
16:21:55.0092 0x2350 Current date / time: 2014/05/20 16:21:55.0092
16:21:55.0092 0x2350 SystemInfo:
16:21:55.0092 0x2350
16:21:55.0092 0x2350 OS Version: 6.1.7601 ServicePack: 1.0
16:21:55.0092 0x2350 Product type: Workstation
16:21:55.0092 0x2350 ComputerName: ANDREY-W7
16:21:55.0092 0x2350 UserName: Andrey
16:21:55.0092 0x2350 Windows directory: C:\Windows
16:21:55.0092 0x2350 System windows directory: C:\Windows
16:21:55.0092 0x2350 Processor architecture: Intel x86
16:21:55.0092 0x2350 Number of processors: 4
16:21:55.0092 0x2350 Page size: 0x1000
16:21:55.0092 0x2350 Boot type: Normal boot
16:21:55.0092 0x2350 ============================================================
16:21:55.0093 0x2350 Initialize success
16:24:06.0051 0x252c ProcessDriveEnumEx: Drive B:\ type 4:0
16:24:06.0051 0x252c ProcessDriveEnumEx: Drive C:\ type 3:0
16:24:06.0051 0x252c ProcessDriveEnumEx: Drive D:\ type 3:0
16:24:06.0051 0x252c ProcessDriveEnumEx: Drive E:\ type 5:0
16:24:06.0051 0x252c ProcessDriveEnumEx: Drive F:\ type 2:0
16:24:06.0141 0x252c Found suspicious file: F:\$RECYCLE.BIN\S-1-5-21-2024182186-3713291217-3137328193-1000\$R02JVJ5\[email protected]
16:24:07.0231 0x252c This is Trojan-Ransom.Win32.Rector, but key not found for file: F:\$RECYCLE.BIN\S-1-5-21-2024182186-3713291217-3137328193-1000\$R02JVJ5\[email protected]
Вот один из файлов базы данных пострадавших от шифрования, есть пустая и заполненная база, соответсвенно в пустой только названия полей без цифр. Зашифрованные файлы так же есть как с пустой так и с заполненной базой. Надеюсь удастся подобрать ключ по этим файлам.
Нашёл у пользователя папку с "иероглифами" (Ðои докÑÐ& #188;енÑÑ) в названии и внутри папка downloads - в которой лежали не зашифрованные файлы. Копии некоторых из этих файлов есть в других папках в зашифрованном виде. Жаль, что это не поможет в расшифровке
Присланный файл уже детектируется как Trojan-Ransom.Win32.Rector.in в написании дешифратора он не поможет.
Печально, что же, будем ждать...
Меня другое огорчило, кроме Каперского и NOD32 этот вирус практически никто и не детектирует:
Код:
https://www.virustotal.com/ru/file/ceeb7b795328d2767506bafab5c9eccb62b6aac89cd38dcfdc9ed519ea995967/analysis/1400832996/
Программа / Название вируса / антивирусная база
========================================
AntiVir TR/Dropper.VB.Gen2 20140523
ESET-NOD32 Win32/Filecoder.AL.Gen 20140523
Kaspersky Trojan-Ransom.Win32.Rector.in 20140523
Qihoo-360 Malware.QVM10.Gen 20140523
...
эти считают файл чистым от вирусов, хотя вирус только у меня уже более недели, а вообще он древний, я на форумах о нём нашёл записи с 2011 года, а проблема появилась намного раньше.
Avast 20140523
ClamAV 20140523
Comodo 20140523
DrWeb 20140523
Malwarebytes 20140523
McAfee 20140523
McAfee-GW-Edition 20140523
Microsoft 20140523
Symantec 20140523
Получил Дешифратор от NOD32 - всё расшифровывается нормально :)
Хочу поделиться радостью, мне ответили ребята из NOD32 - прислали дешифратор, процесс рашифровки во всю идёт - всё расшифровывется без проблем из 5-8тысяч файлов не более 1% битых, в основном .dbf :-)
Код:
Здравствуйте!
В приложенном архиве находится дешифратор (пароль на архив: clean).
Запуск дешифратора необходимо производить через командную строку (Пуск - Все программы - Стандартные - Командная строка, для Windows 7 необходимо запускать командную строку от имени администратора).
Скопируйте файлы из архива, к примеру, в корень диска C:\.
В командной строке введите путь к папке, в которой находится декодер, например: cd c:\ и нажмите Enter.
Использование:
ESETFilecoderWCleaner.exe /b <имя файла или директории>
Примеры использования:
Для обработки одного файла - используйте "ESETFilecoderWCleaner.exe /b C:\the_it.pdf".
Пожалуйста, будьте внимательны и запишите имя файла "как есть" (с прописными и строчными буквами).
Для того, чтобы обработать все зашифрованные файлы, к примеру, в директории C:\photo и всех её подкаталогах, используйте "ESETFilecoderWCleaner.exe /b C:\photo"
Мы рекомендуем попробовать дешифрацию только одного файла, чтобы убедиться, что это правильная версия декодера!
Если версия декодера не соответствует требуемой, файлы будут неправильно дешифрованы.
http://yadi.sk/d/8Ryae0N4S6gNt
пароль: clean
Проясню для ясности:
У меня есть корпоративная лицензия на Касперского и там мне сказали, что пока нет дешифратора и соответсвенно ничем не могут помочь. Я обратился на этот форум, к Др.Вебу и в NOD32. Др.Веб не смог определить вирус в присланном файле с вирусом и не отвечал на дальнейшие вопросы ибо помощь только "клиентам". А вот в NOD32 заинтересовались и довольно быстро (спустя примерно неделю после обращения) прислали архив с дешифровщиком и инструкцией по расшифровке. Из примерно 5-8тысяч файлов примерно 1% битых т.е. расшифровщик написал, что расшифровать не удалось и это как правило относилось к базам данных dbf. Расшифровывает очень быстро, результат видно сразу т.е. натравил расшифровщик на диск и следя за процессом проверял расшифрованные файлы.
Последний раз редактировалось aes222ripn; 03.06.2014 в 17:16.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: