Показано с 1 по 10 из 10.

[email protected], Судебный участок 54, Электронное уведомление (заявка № 163532)

  1. #1
    Junior Member Репутация
    Регистрация
    21.07.2014
    Сообщений
    7
    Вес репутации
    36

    [email protected], Судебный участок 54, Электронное уведомление

    Всем привет! Я из города Новосибирска, номер региона 54.

    Скрытый текст

    Пошарившись по форуму нашёл кучу статей по данной проблеме и не одного решения L

    Хочу поделиться своей историей и наблюдениями.





    Было получено письмо От кого: "Электронное уведомление" [email protected]

    С темой:Судебный участок 54

    В теле письма находилась картинка 2.jpg и архив doc_8120.rar



    Содержимое 2.jpg:

    удалено2.jpg



    Содержимое doc_8120.rar:

    удалено



    doc_8120.html со скриптом



    <HTML><HEAD></HEAD>



    <BODY>


    <P><FONT face=Verdana><STRONG>Электроннаяповестка</STRONG> <B><A href=""><FONT color=#ff0000>Принятьданные</FONT></A> </B></FONT></P></BODY></HTML>




    Данный скрипт скачивает архив af.lzh с содеожимым 2 файлов:




    1. Сyдeбный приказ - судeбнoе постановление, вынесенное судьей единолично на основании ФЗ 5169 5 заявления о взыскании денeжных сyмм или.exe
    2. Postanovleniya_15331.jpg

    После запуска *.exeвирус копирует с одноимённым названием себя в автозагрузку (на windows 7 «C:\Users\UserName\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup») (дата созданного файла *.exe08.06.2014 06:14) и начинает работать по шифрованию файлов определённого типа.



    Также в каталогах



    C:\Users\123\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
    C:\Users\UserName\AppData\Roaming\

    Создаётся файл pic.bmp



    После завершения шифрования рядом с исполняемым файлом создаётся скрипт который чистит хвосты cleen.bat с содержимым



    :try



    del "C:\Users\UserName\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startupyдeбный приказ - судeбнoе постановление, вынесенное судьей единолично на основании ФЗ 51695 заявления о взыскании денeжных сyмм или.exe"


    ifexist "C:\Users\UserName\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startupyдeбный приказ - судeбнoе постановление, вынесенное судьей единолично на основании ФЗ 51695 заявления о взыскании денeжных сyмм или.exe" gototry


    del "C:\Users\UserName\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\cleen.bat"





    Также в месте исполняемого файла создаётся скрытая папка «ufr_reports» с файлами отчётов, содержимое зашифровано L




    Примеры файлов отчётов
    ПК 1

    report_21-07-2014_13-49-53-DD71D08F05E8A5085F50510243A82BED-FGNL.bin



    ПК2 , где проводились эксперементы

    NO_PWDS_report_21-07-2014_16-53-21-FA14A3ED22526B3363A7CB08C4315B00-GAIB.bin

    NO_PWDS_report_21-07-2014_16-55-17-FA14A3ED22526B3363A7CB08C4315B00-LKFK.bin

    NO_PWDS_report_21-07-2014_17-11-55-FA14A3ED22526B3363A7CB08C4315B00-FKNL.bin

    NO_PWDS_report_21-07-2014_17-13-12-FA14A3ED22526B3363A7CB08C4315B00-IMPP.bin

    NO_PWDS_report_21-07-2014_17-13-38-FA14A3ED22526B3363A7CB08C4315B00-HGNJ.bin

    NO_PWDS_report_21-07-2014_17-13-56-FA14A3ED22526B3363A7CB08C4315B00-LLON.bin

    NO_PWDS_report_21-07-2014_17-16-12-FA14A3ED22526B3363A7CB08C4315B00-EHHP.bin

    NO_PWDS_report_21-07-2014_17-17-10-FA14A3ED22526B3363A7CB08C4315B00-IFDG.bin


    После перезагрузки ПК запускается копия и повторяет процесс, после чего уничтожает сама себя и больше копий вируса я не нашёл.




    Оригинал Postanovleniya_15331.jpg и его зашифрованный брат [email protected] и отчёты с ПК где было зашифровани


    удалено Postanovleniya_15331.jpg
    удалено /[email protected][/COLOR]

    удалено /ufr_reports.rar[/COLOR]





    P.S.


    Уважаемые модераторы, не смог залить через загрузчик на ваш форум, все файлы выложил на своём сайте, после скачивания данных можете удалить ссылки или отредактировать их.
    Скрыть
    Изображения Изображения
    • Тип файла: jpg 2.jpg (65.6 Кб, 6 просмотров)
    Последний раз редактировалось thyrex; 29.07.2014 в 19:02. Причина: Ссылки

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) NightShadoWz, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    21.07.2014
    Сообщений
    7
    Вес репутации
    36
    На момент публикации, на сайте www.virustotal.com антивирусы 6 или 53 опознали как вирус, утром было 3
    AhnLab-V3 Trojan/Win32.Ransomlock 20140721
    AntiVir TR/Crypt.XPACK.Gen 20140721
    Antiy-AVL Trojan[Ransom]/Win32.Rector 20140721
    Kaspersky Trojan-PSW.Win32.Ruftar.awjf 20140721
    Qihoo-360 Win32/Trojan.Multi.daf 20140721
    TrendMicro-HouseCall Suspicious_GEN.F47V0721 20140721

    У нас стоит Касперский, заражение наступило примерно в 21.07.2014 в 10-00 по МСК, на этот момент он его ещё не знал
    Последний раз редактировалось NightShadoWz; 21.07.2014 в 20:23.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Свежая версия. Когда появится дешифровка сказать сложно может и через месяц не появится.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  6. #5
    Junior Member Репутация
    Регистрация
    21.07.2014
    Сообщений
    7
    Вес репутации
    36
    Да я в курсе, просто хотел поделиться наблюдениями.

    Как считаете если выкупить дешифратор, он поможет людям?
    Цена вопроса 1 биткоин, это в рублях примерно 21 830,30 рублей по курсу на 21.07.2014

    В моём случае одновременно шифратор отработал сразу с 2х компьютеров на общем диске (документов примерно на 1,5 Т.Б) и я как понимаю если отправить образец, то расшифруется только часть файлов, именно с того компа, с которого был зашифрован образец!?! т.к. дешифратор готовится по конкретному образцу или я не прав?!

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Как считаете если выкупить дешифратор, он поможет людям?
    Может помочь для конкретной одной версии этого шифратора. У этого шифратора расширение добавляется одно и тоже, но ключи расшифровки разные используется в каждом из вариантов.

    то расшифруется только часть файлов, именно с того компа, с которого был зашифрован образец!?
    Если открывалось одно и тоже вложение на обоих компьютерах, то думаю один и тот же выкупленный дешифратор может расшифровать файлы сразу на 2 этих компьютерах.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  8. #7
    Junior Member Репутация
    Регистрация
    21.07.2014
    Сообщений
    7
    Вес репутации
    36
    Сегодня знакомые в Москве получили письмо
    От кого: Арбитражный суд <[email protected]>
    Кому: <ХХХ@mail.ru>
    Дата: Вторник, 22 июля 2014, 2:52 +04:00
    Тема: ИЗВЕЩЕНИЕ АРБИТРАЖНОГО СУДА!

    Арбитражный суд

    Доброе время суток!ХХХ@mail.ru!

    Уведомляем Вас о том, что 22.07.2014 открыто рассмотрение за просрочку платежа:



    # извещения

    Дата рассмотрения


    109579

    22.07.2014




    Пожалуйста, нажмите на ссылку вашего сообщения для более подробной информации.




    ПРОВЕРКА ИНФОРМАЦИИ

    P.S Сообщение было отправлено и создано автоматичесски, не следует отвечать обратно.
    С прямой ссылкой из письма на "ПРОВЕРКА ИНФОРМАЦИИ" скачивается ARBDELO.zip в нём ARBDELO.scr, тоже шифратор
    Последний раз редактировалось mike 1; 22.07.2014 в 13:49.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Из этой http://virusinfo.info/showthread.php?t=158883 серии шифратор.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  10. #9
    Junior Member Репутация
    Регистрация
    21.07.2014
    Сообщений
    7
    Вес репутации
    36
    Не дождался помощи, дешифратор выкупил, полёт нормальный!

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Пришлите пожалуйста присланный дешифратор вместе с инструкцией, которую вам выдали злоумышленники согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы. Спасибо
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

Похожие темы

  1. Тоже попалась на contact@casinomtgox.
    От olga161 в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 29.08.2014, 13:40
  2. заражение файлов вирусом .jpg.contact@casinomtgox
    От duchol84 в разделе Помогите!
    Ответов: 23
    Последнее сообщение: 31.07.2014, 17:13
  3. Ответов: 11
    Последнее сообщение: 28.07.2014, 20:35
  4. Пришел привет от Приставов contact@casinomtgox
    От oleg25 в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 28.07.2014, 20:14
  5. contact@casinomtgox , help !!
    От ryan72 в разделе Помогите!
    Ответов: 21
    Последнее сообщение: 22.07.2014, 22:09

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00169 seconds with 20 queries