Зашифрованы файлы в unstyx@gmail_com. Есть дешифратор, нет ключа.
Добрый день.
Один из наших пользователей в присланном письме открыл скрипт (*.js), после этого его файлы переименовались *.unstyx@gmail_com, при этом переименовались файлы и на сетевом диске, куда был доступ у этого пользователя. Прошу помощи, т.к. зашифровались общие файлы.
Выкладываю файлы которые были найдены: http://rghost.ru/56056935
Последний раз редактировалось Foxcor; 01.06.2014 в 13:48.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Foxcor, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Логи в порядке. Без покупки оригинального дешифратора не обойтись.
Вы смотрели файлы которые на ргхосте лежат?
Там все файлы, вирусный js файл, дешифратор, оригинальный и шфрованный файл, посмотрите файлы кроме логов!!!
- - - Добавлено - - -
Запустил дешифратор, подсунул Private.key переименовав его в UNCRYPT.KEY. Дешифратор переименовал файлы в *.gpg (пока, процесс идет). В папке Тemp нашел батник dweb.cmd в котором "RENAME "S:\Обмен\simatic\doc\ManColl\Francais\3\2\2\3\1\h y_s7-cps-pb_77.pdf.unstyx@gmail_com" "hy_s7-cps-pb_77.pdf.gpg"
echo unstyx|decrypt.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files "S:\Обмен\simatic\doc\ManColl\Francais\3\2\2\3\1\h y_s7-cps-pb_77.pdf.gpg"
IF NOT ERRORLEVEL 2 del /f /q "S:\Обмен\simatic\doc\ManColl\Francais\3\2\2\3\1\h y_s7-cps-pb_77.pdf.gpg"
RENAME "S:\Обмен\simatic\doc\ManColl\Francais\3\2\2\3\1\m n_ncm-pb-intro_77.pdf.unstyx@gmail_com" "mn_ncm-pb-intro_77.pdf.gpg" "
Также сохранил decrypt.exe.
Вообщем в ожидании, жду когда все закончится.
- - - Добавлено - - -
Добавлю еще файлы, вроде тоже относятся к дешифратору. http://rghost.ru/56059408
Запустил дешифратор, подсунул Private.key переименовав его в UNCRYPT.KEY
Если бы было все так просто уже давно написали дешифратор. Файлы нельзя расшифровать без приватного ключа, который есть только у автора этого шифратора.
Некоторые антивирусы детектят сам скрипт, но к сожалению находятся и такие кто игнорируют предупреждение антивируса и все равно запускают вложенный файл. Потому пока пользователи не научатся включать голову это будет продолжаться.