Показано с 1 по 9 из 9.

Помогите расшифовать файлы с дополнительным расширением keybtc@gmail_com (заявка № 164899)

  1. #1
    Junior Member Репутация
    Регистрация
    13.08.2014
    Сообщений
    4
    Вес репутации
    13

    Помогите расшифовать файлы с дополнительным расширением keybtc@gmail_com

    Пришло письмо от "наших коллег" со счетом упакованным в архив *.rar.
    Файл был открыт, высветилось несколько окон с сообщением об ошибке в которых говорилось, что данная программа не поддерживается данной операционной системой, на них не обратили внимания и просто закрыли. Через сутки на компьютере все файлы *.doc *.xls *.pdf *.jpg были зашифрованы и к ним было добавлено новое дополнительное расширение keybtc@gmail_com. Появились так же письма на рабочем столе в текстовом формате, содержащие данное расширение в наименовании.
    На тот момент на компьютере было установлено Win 7 (64) и Microsoft Security Essential. Указанный антивирус при проверке ничего не обнаружил.
    Компьютер проверенDr.Web CureIt!, который удалил трояна JS.Downloader. Файлы остались зашифрованы. После этого компьютер был обработан Kaspersky Virus Removal Tool. Ничего найдено не было.
    Далее была установлена пробная версия McAfee. потом Eset NOD32 Антивирус, проверен компьютер, тоже ничего не найдено, файлы зашифрованы.

    Прошу помочь с расшифровкой файлов, если это возможно.

    Прилагаю файлы обработки компа AVZ и HijackThis.

    Могу дополнительно выслать архив - virusinfo_autoquarantine.zip, образец файла до и после шифровки вирусом, созданные вирусом текстовые и приват файлы, начальный архив с самим вирусом (правда после проверки всеми вышеперечисленными программами), и другую нужную Вам информацию.

    [удалено], Алексей
    Вложения Вложения
    Последний раз редактировалось thyrex; 14.08.2014 в 10:51.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,457
    Вес репутации
    343
    Уважаемый(ая) intex-nn, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Smally удалите через Установку программ

    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Windows\system32\drivers\{b1ce3ece-1927-4e6e-b064-2f9628964a7a}Gw64.sys','');
     DeleteService('{b1ce3ece-1927-4e6e-b064-2f9628964a7a}Gw64');
     DeleteFile('C:\Windows\system32\drivers\{b1ce3ece-1927-4e6e-b064-2f9628964a7a}Gw64.sys','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Smally','command');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    13.08.2014
    Сообщений
    4
    Вес репутации
    13
    1. удалил smally, а так же gompleyr и googletoolbar т.к. они были установлены без моего желания
    2. скрипт выполнил, компьютер перезагрузился
    3. все программы закрыл, антивирусы microsoft SE и NOD32 отключены
    4. новые логи сделал
    5. папка Quarantine в AVZ - пуста
    6. при попытке загрузить файл virusinfo_autoquarantine.zip через правила Приложения 2 получаю ответ на эране:

    Результат загрузки

    Ошибка загрузки. Данный файл уже был загружен


    Алексей
    Вложения Вложения

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    В логах порядок.

    С расшифровкой не поможем
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    13.08.2014
    Сообщений
    4
    Вес репутации
    13
    Если я правильно понимаю, то мой компьютер сейчас "здоров" и может без препятствий использоваться в сетях не угрожая заражением другим?

    Может ли кто-то помочь с расшифровкой по Вашему мнению?

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Компьютер здоров.

    С расшифровкой бессильны вирлабы. Правда в вирлабе DrWeb есть один успешный случай расшифровки именно Вашего варианта шифровальщика. Если есть действующая годичная лицензия на любой их продукт, можете обратиться на их форум
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    13.08.2014
    Сообщений
    4
    Вес репутации
    13
    Спасибо, будем искать решение

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,448
    Вес репутации
    730
    intex-nn, прочитайте эту статью http://virusinfo.info/showthread.php?t=164586
    возможно поможет получить нужный ключ для расшифровки для расшировки в ходе обыска у авторов трояна.

Похожие темы

  1. Ответов: 2
    Последнее сообщение: 11.08.2014, 19:32
  2. помогите расшифровать файлы от keybtc@gmail_com
    От Alex Wolf в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 11.08.2014, 19:23
  3. Ответов: 2
    Последнее сообщение: 11.08.2014, 18:56
  4. Ответов: 2
    Последнее сообщение: 08.08.2014, 00:02
  5. Ответов: 14
    Последнее сообщение: 07.03.2012, 07:24

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01222 seconds with 17 queries