-
Junior Member
- Вес репутации
- 36
trojan encoder [email protected] пойман в процессе. Есть файлы. Поможет дешифрации ? [Trojan-Dropper.Win32.Dapato.efbm]
Поймал шифровальщика, который шифрует файлы и переименовывает их по типу:
"ОБЩИЕ ПОЛОЖЕНИЯ.doc.id-{IICUOSJFMLWQDZQJOKBVTVGAFBMLKMXRVPAU-22.07.2014 11@28@514360605}[email protected]"
шифрованный файл больше нешифрованного на 1-2кБ и имеет концовку:
{647378887FBC0F8532D83960F1674F8E}{7F87FD97E46196D 09373B0753E6F290E}{29}{0}{255}{8160}{255}{15045}{2 55}{20480}{7}{100}{8}{29}{61}{99}{28}{55}{62}{90}{ 27}{75}{21}{81}{87}{27}{99}{43}{91}{5}{85}{56}{68} {53}{7}{28}{92}{28}{10}{43}{82}{64}{48}{34}{11}{16 }{55}{59}{4}{79}{D3A97E727287E1CEE44DBADB411FAFBC} {IICUOSJFMLWQDZQJOKBVTVGAFBMLKMXRVPAU-22.07.2014 11@28@514360605}{ОБЩИЕ ПОЛОЖЕНИЯ.doc}{CRYPTENDBLACKDC}
Набор цифирек у всех файлов разный. Одинаковый только АйДи, совпадающий с добавкой в имени файла.
При попытке открыть выдается надпись типа "Уважаемый хомячок! На твой компьютер сошла благодать! ..."
История проникновения: пришло письмо типа от судебных приставов, типа иск в приложении - откройте. Ну и испугались - открыли.
В "Program Files" было создано 3 каталога:
"РОССИЙСКИЕ ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ/КОЛЛЕГИЯ СУДЕБНЫХ ПРИСТАВОВ" с файлами
informersoft.exe
svchost.exe
"как вернуть этот файл/информационное сообщение о файлах" с файлом
"послание.txt" с соотв. содержанием
и
"decryptfiles" с файлами
decryptkey.txt
svchost.exe
decryptkey.txt имеет следующее содержание:
{IICUOSJFMLWQDZQJOKBVTVGAFBMLKMXRVPAU-22.07.2014 11@28@514360605}
65534862675859676551494461675956566157626545615846 546367435162664344674356616762
первая строка - уже знакомый нам АйДи. Вторая?
Всё это было отловлено и остановлено вручную на др. компьютере. Шифровальщик действовал до момента отлова, в т.ч. после нескольких перезагрузок компьютера.
В автозагрузке было:
command=C:\Program Files\decryptfiles\svchost.exe
location=HKLM\Software\Microsoft\Windows\CurrentVe rsion\Run
command=c:\documents and settings\1\6261065.exe
location=HKCU\Software\Microsoft\Windows\CurrentVe rsion\Run\AutorunsDisabled
(поймать не удалось)
command=C:\Program Files\RDS\RMClient\MplSetUp.exe
location=HKLM\Software\Microsoft\Windows\CurrentVe rsion\Run
(этот тоже есть в т.ч. с каталогами PMGData и PMJobHis )
В диспетчере задач постоянно вылезал "Microsoft search indexer" - возможно, вирус им пользовался. А может и нет.
Также есть некоторое количество зашифрованных и "оригинальных" файлов.
То, что отловил - переписал к себе (соотв. есть ли смысл мне проверяться АВЗой и ХайДжакитой? Думаю, нет). Соотв. все эти файлы есть. Хотелось бы знать, что они из себя представляют, определить, кто из них шифровальщик.
Если шифровальщик пользовался RDS/RMClient, то можно ли что-то полезное извлечь из PMJobHis ?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
trojan encoder [email protected] пойман в процессе. Есть файлы. Поможет дешифрации ? [Trojan-Dropper.Win32.Dapato.efbm
]
Уважаемый(ая) Bobby_ii, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Если шифровальщик пользовался RDS/RMClient, то можно ли что-то полезное извлечь из PMJobHis ?
Сомневаюсь.
-
-
Junior Member
- Вес репутации
- 36
Я думаю, вас напугало, что в "письме" враг написал про криптостойкий алгоритм.
В документе зашифровано глубоко не всё, т.е. не весь файл.
Изменена шапка
К концу добавлен "хвост" частично осмысленный (конец), частично - хрен знает что ("зашифрованный" файл бОльше размером).
*И изменены некоторые символы в теле. Причем на следующие по ASCII например i->j, o->p, ..., возможно это у меня разные версии документа.
Некоторые документы читабельны после переименования.
Вероятно это причина того, что файлы 1С, имеющие некоторую избыточность, после переименования оказываются рабочими.
-
Последний раз редактировалось thyrex; 27.07.2014 в 18:36.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- \program files\decryptfiles\svchost.exe - Trojan-Dropper.Win32.Dapato.efbm ( AVAST4: Win32:Malware-gen )
- \program files\российские информационные технологии\коллегия судебных приставов\svchost.exe - Trojan-Dropper.Win32.Dapato.efbm ( AVAST4: Win32:Malware-gen )
- \вирус(аттачмент из почты)\attachment.zip - Trojan-Dropper.Win32.Dapato.efbm
-