Показано с 1 по 12 из 12.

шифровальщик *.Support@casinomtgox.com и *.Ctbl (заявка № 163298)

  1. #1
    Junior Member Репутация
    Регистрация
    12.07.2014
    Сообщений
    6
    Вес репутации
    13

    шифровальщик *.Support@casinomtgox.com и *.Ctbl

    Здравствуйте. Я Вас хочу попросить о помощи расшифровать файлы, зашифрованные вирусом, который добавляет к наименованию файла .Support@casinomtgox.com
    Логии, которые требуется, я прикрепил.

    Файла зашифрованные с .Ctbl я расшифровал, заплатив злоумышленникам, о чем написал ниже для форумчан, которым нууууу очень нужны файлы.


    История

    Итак по порядку. Обратился ко мне знакомый, которому нууу очень нужны файлы. Поискав на просторах интернета и почитав форумы я понял, что (на сегодняшний день) техподдержка антивирусов не может найти решение проблемы.


    Мой антивирус сам вирус обезвредил (в карантин). Больше я ничего на компе не делал. Нашел в папке “Мои документы” текстовый файл DecryptAllFiles 5195909.txt
    Внутри которого была такая таже информация что и вместо обоев:

    Your documents, photos, databases and other important files have been encrypted
    with strongest encryption and unique key, generated for this computer.


    Private decryption key is stored on a secret Internet server and nobody can
    decrypt your files until you pay and obtain the private key.


    If you see the main locker window, follow the instructions on the locker.
    Overwise, it's seems that you or your antivirus deleted the locker program.
    Now you have the last chance to decrypt your files.


    1. Type the address http://torproject.org in your Internet browser.
    It opens the Tor site.


    2. Press 'Download Tor', then press 'DOWNLOAD Tor Browser Bundle',
    install and run it.


    3. Now you have Tor Browser. In the Tor Browser open the http://zaxseiufetlkwpeu.onion
    Note that this server is available via Tor Browser only.


    4. Copy and paste the following public key in the input form on server. Avoid missprints.
    KJAVBA-E3LSE3-KHYJMM-7VDWAD-RTSSYS-7GQ4BR-SPVQDA-NJUF55
    OFOQZ6-HK74FG-H67NU4-YNUBH2-RJAYCH-A2A6AR-XSRZAL-BO26YP
    F6Y34K-IMMEQ2-W7WQ4B-ZRHCFU-I43IEJ-PCK7OA-562APJ-DGSYPG


    5. Follow the instructions on the server.



    Где сперва информация – на какой сайт зайти (с любого браузера), чтобы скачать нужный браузер.
    Затем устанавливаете это браузер, запускаем его. В нем заходите по второй ссылке из файла DecryptAllFiles ???????.txt http://zaxseiufetlkwpeu.onion


    Открывается страница, на которой вам нужно внести 3-х строчный код из DescriptionFiles.txt
    После чего вы увидите адрес оплаты (адрес кошелька) BitCoin (пример:1G9h9WeDUiPzVRqnsP2cE3nRQoMxxJmS7V).

    Эти адреса кошельков, на которые нужно положить денешку вполне могут быть индивидуально для каждого из заряженных, поскольку владелец кошелька может иметь много адресов. Сохраните этот адрес. СТОИМОСТЬ = 0.03 BTC (~ 18 USD).


    Как положить туда эти денежки, если у вас их нет – это отдельная проблема. Особенно сложнее для белорусов, поскольку в интернете предлагаются обменники реальных денег в BTC с Российских банков.

    Есть возможность купить BTC с PayPal и произвести оплату с сайта https://www.virwox.com/?stage=1 . Как - описано на этом сайте http://www.linuxspace.org/archives/5407
    НО! Любая операция перевода, конвертирования и оплаты стоит % денег. В моем случае в итоге я перевел с PayPal 28$. В результате манипуляций с конвертацией у меня получилось 0.034BTC. И хорошо, что чуть больше, поскольку за операцию оплаты с вас опять сдерут 0.002BTC. После оплаты нужно ждать 48 часов и письма от VirFox подтверждения операции.


    После этого нужно опять зайти на сайт ввода 3-х строчного кода http://zaxseiufetlkwpeu.onion. Вставляете код и о чудо – вам представляется ссылка на сам дешифратор (называется unlocker.exe) и ключ дешифровки.
    (у меня вот такой:0059A73BD7C843327FB354C123F46926E956BEB5D0D5D2073C41EAF1225CD776)
    Скачиваете и запускаете. Сам дешифровщик может быть уже с вставленным вашим ключом.


    Моя Windows (я ее не переустанавливал) начала выбрасывать дешифровщик в ошибку через пару минут запуска, хотя я удалил антивирус и отключил Брандмауэр. В безопасном режиме тоже выбрасывало. Поэтому я загрузил (не установил) с диска (Life CD) Windows XP и там уже запустил дешифровщик. В окошке дешифровщика была написана информация о том, мол “что вы переустановили винду” (понятное дело, я же с Life CD) “и что уже без ключа не сможете расшифровать”. Но ключ то у меня был.
    Расшифровывал он где-то 1.5 часа. И понять что дешифровщик закончил – не возможно. В окне дешифровщика так и бегала стока процесса. Я понял по светодиоду (красненькому) HDD, что процесс завершен (перестал беспорядочно мигать, ну или определить на звук, что винчестер перестал “хрустеть”). Посмотрел фото – расшифровались.
    Я так понимаю, что даже если кто переустановил Windows (отформатировал диск с системой), но! файл DecryptAllFiles ??????.txt каким либо образом остался (например папка “Мои документы” находилась на другом диске или переустанавливали Windows без форматирования), то есть шанс расшифровать файлы. Проще вам произвести поиск файла с кодом запроса по имени или тексту внутри файла. Например искать файл с текстом внутри “3. Now you have Tor Browser. In the Tor Browser open the http://zaxseiufetlkwpeu.onion”.


    сам дешифратор находится в прикрепленном файле unlocker.rar
    надеюсь модераторы (из за нарушения правил) его не удалят, чтобы каждый мог себе скачать
    Скрыть




    virusinfo_syscure.zipvirusinfo_syscheck.ziphijackthis.log
    Вложения Вложения
    Последний раз редактировалось thyrex; 16.07.2014 в 23:48. Причина: спойлер

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) vitovte, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,548
    Вес репутации
    3021
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Temp\00193487.exe','');
     QuarantineFile('C:\Program Files\Speed Test (4354)\ScriptHost.dll','');
     QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\005b707f.exe','');
     DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\005b707f.exe','32');
     DeleteFile('C:\Temp\00193487.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\System Components Update','32');
     DeleteFile('C:\Windows\system32\Tasks\System Security','32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Сделайте лог полного сканирования МВАМ

    + пришлите несколько зашифрованных файлов небольшого размера (документ Word или Excel, картинку)
    Последний раз редактировалось thyrex; 16.07.2014 в 23:55.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    12.07.2014
    Сообщений
    6
    Вес репутации
    13
    Выполниk скрипт в AVZ.

    Хотер прислать карантин, но выдало сообщение
    Результат загрузки
    Ошибка загрузки. Данный файл уже был загружен
    (хотя я еще ниразу не загружал)
    Логи скинул.
    mbam.txt скинул

    вот файла закодированных фоток
    https://www.dropbox.com/s/sl8gfqsp6t...asinomtgox.com
    https://www.dropbox.com/s/m2j27416p9...asinomtgox.com
    Вложения Вложения
    Последний раз редактировалось olejah; 17.07.2014 в 21:50. Причина: карантин

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,548
    Вес репутации
    3021
    Смените все пароли

    Поместите в карантин МВАМ всё, кроме
    Код:
    Processes: 1
    Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, 1972, , [690bb6e983f8d4628e434415f50b8f71]
    
    Files: 192
    Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, , [690bb6e983f8d4628e434415f50b8f71], 
    Trojan.FakeAlert.DF, C:\Program Files\ASCON\KOMPAS-3D V9\Libs\FTDraw\FTSCALC.exe, , [89eb87182c4fba7cb2a67fd5ff02e21e], 
    PUP.Hacktool, C:\Program Files\Microsoft Office\activator.exe, , [f48079269ddeb08618a6067a4db305fb], 
    Malware.Packer.Krunchy, D:\GAME Small\Hammerfight Rus\Uninstall.exe, , [6311bbe474073204824c9bb8bc44728e], 
    Malware.Packer.Krunchy, D:\GAME Small\Piles'O'Tiles\Uninstall.exe, , [23516c33512a0e28537bc88bd7292bd5], 
    Trojan.Downloader, D:\GAME Small\???µN????°N?N??? ??N???N?\Birdies.exe, , [195b1a854e2ded49fc59b9c0897b827e], 
    Rootkit.Agent, D:\SOFT\kompas\Crack\hl_mull.sys, , [77fd77286813ae8825ee36a5cd347888],
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    12.07.2014
    Сообщений
    6
    Вес репутации
    13
    Цитата Сообщение от thyrex Посмотреть сообщение
    Смените все пароли

    Поместите в карантин МВАМ всё, кроме
    Здравствуйте.
    Извините, я Вас не понял.
    Какие пароли вы имеете ввиду? пароли на почту и все такое?
    Что переместить (от куда) как?
    карантин МВАМ пуст.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,548
    Вес репутации
    3021
    Цитата Сообщение от vitovte Посмотреть сообщение
    Какие пароли вы имеете ввиду? пароли на почту и все такое?
    Все используемые.

    Цитата Сообщение от vitovte Посмотреть сообщение
    Что переместить (от куда) как?
    Запустить повторное сканирование МВАМ (можно выбрать только диск С), после его завершения выбрать действие Карантин для всех записей, кроме указанных в перечне выше
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    12.07.2014
    Сообщений
    6
    Вес репутации
    13
    Понятно. Компьютер не мой, пароли незнаю, а переписку я веду со своего компьютера.
    Я сообщу владельцу.

    Може мне не нужно делать выше описанные манипуляции?
    - я так понимаю это для того, чтобы обезвредить компьютер?
    Я все равно переустановлю Windows. и паудаляю всякие "игры" с других дисков
    Мне главное найти дешифратор, который зашифровал файлы "*.Support@casinomtgox.com"

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,548
    Вес репутации
    3021
    Документ Word или Excel зашифрованный найдете? И дату у зашифрованных файлов сообщите
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    12.07.2014
    Сообщений
    6
    Вес репутации
    13
    Цитата Сообщение от thyrex Посмотреть сообщение
    Документ Word или Excel зашифрованный найдете? И дату у зашифрованных файлов сообщите
    зашифрованные файлы сбросил:
    46.docx.Support@casinomtgox.com ‎- дата: ‎создан 29 октября ‎2013 г., 23:27:57 изменен 6 ‎июля ‎2014 ‎г., ‏‎20:44:55
    Контрольная работа (расчеты).xls.Support@casinomtgox.com - дата: ‎создан 22 мая ‎2014 г., ‏‎13:18:10 изменен ‎6 ‎июля ‎2014 ‎г., ‏‎20:48:13
    основы права конспект.doc.Support@casinomtgox.com - дата: ‎создан 29 октября ‎2013 г., 23:27:57 изменен ‎6 ‎июля ‎2014 ‎г., ‏‎20:44:58
    Вложения Вложения

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,548
    Вес репутации
    3021
    Цитата Сообщение от vitovte Посмотреть сообщение
    изменен 6 ‎июля ‎2014 ‎г
    Как и ожидалось, пока глухо. Ни для одной июльской версии дешифраторов нет
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    12.07.2014
    Сообщений
    6
    Вес репутации
    13
    Понятно. Ну хятябы совесть чиста, что попытался.
    Спасибо Вам. Было приятно пообщаться.

Похожие темы

  1. Шифровальщик Support@casinomtgox.com
    От d1m_0n в разделе Помогите!
    Ответов: 10
    Последнее сообщение: 09.07.2014, 19:58
  2. Шифровальщик Support@casinomtgox.com
    От baroko123 в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 23.05.2014, 21:25
  3. Шифровальщик Support@casinomtgox.com
    От Игорь Буторин в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 22.05.2014, 13:37
  4. Шифровальщик Support@casinomtgox.com
    От Ollen в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 14.05.2014, 18:24
  5. Шифровальщик Support@casinomtgox.com
    От Игорь Жилин в разделе Помогите!
    Ответов: 14
    Последнее сообщение: 08.05.2014, 15:09

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00974 seconds with 17 queries