[email protected]

[Alex_Belgorod]

Добрый день, вчера у нас на предприятии одно юное создание запустило неизвестный файлик. В следствии чего, все файлы Word, Excel, а также картинки и архивы были зашифрованы. Проведенный анализ системы выявил оставшиеся ключи и скрипты использовавшиеся для заражения. Куда передать информацию?
P.S. Все равно восстановить данные не получиться , так может другим людям поможет

hijackthis.log
virusinfo_syscure.zip
virusinfo_syscheck.zip

[Info_bot]

Уважаемый(ая) Alex_Belgorod, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Куда передать информацию?

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

[thyrex]

GnuPG сами устанавливали после шифрования?

- - - Добавлено - - -

GnuPG сами устанавливали после заражения?

[Alex_Belgorod]

Конечно... Я расшифровал все... Я получил ключик от них...

- - - Добавлено - - -

Короче.. Есть скрипт, который производит заражение, есть скрипт который производит расшифровку (с ошибкой кстати : в нем не указана кодовая фраза), есть есть ключик которым они подписывают свой ключ...Есть исходный скрипт, который используется для загрузки шифровальщика. Могу всем желающим выслать соответствующие скрипты. Кстати, они используют GNU PG

- - - Добавлено - - -

GnuPG сами устанавливали после шифрования?

- - - Добавлено - - -

GnuPG сами устанавливали после заражения?

Сам конечно, еще и скрипты нашел все...

[thyrex]

Я получил ключик от них...

Предварительно заплатив?

есть скрипт который производит расшифровку (с ошибкой кстати : в нем не указана кодовая фраза), есть есть ключик которым они подписывают свой ключ...

Это Вы о чем сейчас? Они же вроде и декодер сразу сбрасывают при первоначальной установке в систему

Могу всем желающим выслать соответствующие скрипты.

Запакуйте (и исходный скрипт полученный по почте тоже) с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

Кстати, они используют GNU PG

Это известный факт http://virusinfo.info/showthread.php?t=162092

[Alex_Belgorod]

Предварительно заплатив?

Это Вы о чем сейчас? Они же вроде и декодер сразу сбрасывают при первоначальной установке в систему

Запакуйте (и исходный скрипт полученный по почте тоже) с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

Это известный факт http://virusinfo.info/showthread.php?t=162092

1) Заплатив? А они не читают форум?
2) Вы правы, декодер есть в системе... Но, если в Temp нет файлика с ключом, то декодер не работает.. Но, при начале работы декодер создает необходимые файлы для работы в Temp, которые можно выловить при везении.
3) Хорошо, сейчас расшифрую все файлы и вышлю скрипты...

[Alex_Belgorod]

Кстати, а почему нельзя отправлять личные сообщения? Пишет что нельзя отправить более 5 сообшений.. Сории, за оффтоп...

- - - Добавлено - - -

thyrex, хм.. А вы тоже из Белоруссии? Да?

[thyrex]

почему нельзя отправлять личные сообщения? Пишет что нельзя отправить более 5 сообшений..

Защита от спама Можете, при желании, написать мне на почту

А вы тоже из Белоруссии? Да?

Да

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения вредоносные программы в карантинах не обнаружены