[email protected]_lot4008 [Trojan.Win32.Buzus.olap, HEUR:Trojan.Win32.Generic]

[nerp36484]

Огромное спасибо за ответы

[mike 1]

Потом отпишитесь о результатах. Файл ваш расшифровался, но полноценной расшифровки без запроса не будет.

[nerp36484]

Потом отпишитесь о результатах. Файл ваш расшифровался, но полноценной расшифровки без запроса не будет.

какого запроса?
Сейчас ищу знакомых с доктор вебом((((

[mike 1]

Без официального запроса в техподдержку DrWeb они не станут возиться с дешифровкой.

[nerp36484]

Файлы зашифрованы одним из новых вариантов троянской программы Trojan.Encoder.293
На данный момент у нас нет способа их расшифровать.
Также, увы, нет никакой надежды, что кто-либо сможет подобрать/вычислить ключ для расшифровки - эффективных алгоритмов факторизации для шифра RSA современной науке не известно.
Ключ для расшифровки данных, зашифрованных Encoder.293, можно получить/изъять только у автора троянца.

Таким образом, основная рекомендация : обратитесь с заявлением в территориальное управление "К" МВД РФ;
по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.
Образцы заявлений, а также ссылка на госпортал ("Порядок приема сообщений о происшествии в органах внутренних дел РФ") есть на нашем сайте: http://legal.drweb.com/templates
Возможно, в результате полицейской акции поймают автора/"хозяина" троянца и выяснят у него шифроключ.

Существует возможность частичного восстановления (реконструкции) некоторых файлов, зашифрованных encoder.293, без их расшифровки
(расшифровка без приватной половины ключевой пары невозможна).
Только некоторых, и только частично.
Фактически такой подход основывается на том, что шифровщик типа Encoder.102/293 вносит в файл относительно немного изменений.
И т.к. в данные внесено относительно немного изменений, локализованных в известных местах файла, то на это можно посмотреть просто как на повреждение файла, которое, возможно, поддается исправлению.
При этом следует иметь в виду, что реконструированный файл никогда не возвращается в исходное, как было до зашифровки, состояние.
Особенно актуально для офисных doc/xls , в которых после реконструкции могут измениться данные на первых страницах.
Было написано 100 , а станет 500 - такое запросто может случиться.

Наша утилита, которая кое-что умеет делать в этом плане:
http://download.geo.drweb.com/pub/dr...102decrypt.exe

Способ её применения в вашем случае следующий:
te102decrypt.exe -k h49 -e [email protected]_lot4008
или:
te102decrypt.exe -k h49 -e [email protected]_lot4008 -path D:\Path
- так деятельность реконструктора ограничится только тем, что найдется в указанном каталоге D:\Path

Результаты сохраняются в новые файлы; по принципу :
"документ[email protected]_lot4008" (зашифрованный) => "документ.doc" (реконструированный)
с учетом этого требуется дополнительное свободное место на диске.

В лучшем случае te102decrypt сможет восстановить кое-что из файлов формата jpg/doc/xls/dbf
(часть данных может быть потеряна, но количество потерь сведено к минимуму)
Не более того.

Что касается зашифрованных zip-архивов.
То, что можно из них вытащить без расшифровки, способен вытащить архиватор 7zip
Непосредственно распаковать прямо из зашифрованных.
В данном случае должно быть возможно вытащить из зашифр. zip-архива все файлы, кроме первого, и, быть может, еще нескольких из начала архива.

Пока это всё, чем мы можем вам помочь.

С уважением, ,
служба технической поддержки компании "Доктор Веб".

[mike 1]

На данный момент у нас нет способа их расшифровать.

На данный момент они не могут вам помочь. Попросите их чтобы попытались сделать полноценную расшифровку. В архиве quarantine2.zip есть тело шифратора по которому они могут сделать расшифровку, но на это им потребуется значительное время о чем я вам писал ранее.

[mike 1]

Информация

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Скачайте te102decrypt.exe и сохраните в корень диска С.

В командной строке введите:

Код:

C:\te102decrypt.exe -k 569

Внимание!!!
1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет

2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались

[nerp36484]

Решение найдено. Теперь возможна полноценная расшифровка.

Для этого требуется новейшая на данный момент версия утилиты te102decrypt.exe
(во всяком случае не ниже версии 1.10.31 , выпущенной сегодня)
http://download.geo.drweb.com/pub/dr...102decrypt.exe

Расшифровка запускается командой
te102decrypt.exe -k 569
// расшифровывать файлы на всех дисках
или
te102decrypt.exe -k 569 -path "D:\Path"
// расшифровывать файлы только в указанном каталоге D:\Path

Расшифровка идет в новые файлы; по принципу :
"документ[email protected]_lot4008" (зашифрованный) => "документ.doc" (расшифрованный)


С уважением, ,

[thyrex]

Постом выше тот же совет

[nerp36484]

Спасибо VirusInfo

[mike 1]

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Советы и рекомендации после лечения компьютера

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 5
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\11\appdata\local\jerlobw.dll - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Variant.Kazy.351236, AVAST4: Sf:Injector-AD [Trj] )
  2. c:\users\11\appdata\local\temp\notepad.exe - Trojan-Ransom.Win32.Crypren.pxn ( BitDefender: Gen:Heur.Spesr.VB.1 )
  3. c:\users\11\appdata\local\temp\rad1ace8.tmp.exe - Trojan.Win32.Buzus.olap ( BitDefender: Gen:Heur.Zygug.2, AVAST4: Win32:Malware-gen )
  4. c:\users\11\appdata\local\temp\359.exe - HEUR:Trojan.Win32.Generic ( BitDefender: Trojan.Generic.11104918, AVAST4: Win32:Zbot-TUJ [Trj] )
  5. c:\windows\windows.exe - Worm.Win32.RussoTuristo.f ( BitDefender: Win32.Worm.Delf.BF, NOD32: Win32/RussoTuristo worm, AVAST4: Win32:RussoTuristo-C [Wrm] )