Показано с 1 по 16 из 16.

Зашифрованы файлы .coderksu@gmail_com_id394 [not-a-virus:NetTool.Win32.Wasppace.l, Trojan-Downloader.Win32.Genome.ifcs ] (заявка № 165550)

  1. #1
    Junior Member Репутация
    Регистрация
    21.07.2012
    Сообщений
    22
    Вес репутации
    20

    Зашифрованы файлы .coderksu@gmail_com_id394 [not-a-virus:NetTool.Win32.Wasppace.l, Trojan-Downloader.Win32.Genome.ifcs ]

    Добрый день. Зашифрованы файлы, к имени каждого такого файла дописано .coderksu@gmail_com_id394

    Возможно ли расшифровать данные файлы?

    Еще текстовый файлик с содержимым:

    Скрытый текст

    Здравствуйте!
    Ваш компьютер был атакован опаснейшим вирусом!
    Вся Ваша информация, включая базы данных, документы, бэкапы, и прочие файлы была зашифрована при помощи криптостойких алгоритмов.
    Все зашифрованные файлы имеют расширение .ARRESTED
    Восстановить файлы можно только при помощи дешифратора и пароля, который, в свою очередь, знаем только мы.
    Подобрать его невозможно. Переустановка ОС ничего не изменит.
    Ни один системный администратор в мире не решит эту проблему не зная пароля.
    Ни в коем случае не изменяйте файлы! А если решились, то сделайте резервные копии.
    Напишите нам письмо на адрес razshifrovkin@live.com (в случае если вам не ответили в течение 12 часов, то продублируйте письмо на почту razshifrovkin@tormail.org) для получения дальнейших инструкций.
    Мы расшифруем один абсолютно любой файл .ARRESTED для вас бесплатно (кроме баз данных, за которые, собственно, вы нам и платите)
    Для этого прикрепите его и файл "ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT"
    Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.
    Среднее время ответа специалиста 1-12 часов.
    К письму прикрепите файл "ЧТО_С_ЭТИМ_ДЕЛАТЬ.TXT".
    Письма с угрозами ни к чему хорошему вас не приведут.
    НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!

    ==========================================
    jpbgeZX2lBPRtCJMKDLvMYq01p9DK6Rc
    ==========================================
    Скрыть
    Вложения Вложения
    Последний раз редактировалось marveL.; 26.08.2014 в 11:16.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,460
    Вес репутации
    342

    Зашифрованы файлы .coderksu@gmail_com_id394 [not-a-virus:NetTool.Win32.Wasppace.l, Trojan-Downloader.Win32.Genome.ifcs ]

    Уважаемый(ая) marveL., спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    information

    Уведомление

    Логи делать не через терминальную сессию



    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".


    1. Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
    2. Распакуйте архив с утилитой в отдельную папку
    3. Запустите sitlog.exe
      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
    4. В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
    5. По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
    6. Прикрепите эти отчеты в вашей теме.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  5. #4
    Junior Member Репутация
    Регистрация
    21.07.2012
    Сообщений
    22
    Вес репутации
    20
    логи, для uVS не хватает места, сейчас попробую решить этот вопрос

    - - - - -Добавлено - - - - -

    Куда можно отправить лог uVS? для прикрепления файла (236КБ) не хватает места.
    Вложения Вложения

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Сюда http://rghost.ru загрузите полученную ссылку напишите.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  7. #6
    Junior Member Репутация
    Регистрация
    21.07.2012
    Сообщений
    22
    Вес репутации
    20
    MERCURY_2014-08-26_14-07-11.7z
    http://rghost.ru/57684479

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Выполните скрипт в uVS:

    Код:
    ;uVS v3.83 BETA 16 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.2
    
    OFFSGNSAVE
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\MILENA\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\H7ZTKTWV\1CV7[1].EXE
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\НАТАЛЬЯ\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\H7ZTKTWV\1CV7[1].EXE
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\MILENA\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\V49XBLJS\1C[1].EXE
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\SUPPORT\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\JJD9J5ZY\1_Z[1].BAT
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\DIRECTOR\МОИ ДОКУМЕНТЫ\AUDIODG.EXE_.BAT
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\MILENA\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\JJD9J5ZY\IEXPLORE[1].EXE
    zoo %SystemDrive%\1C\S.BAT
    zoo %SystemDrive%\RECYCLE\S.BAT
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ДОКУМЕНТЫ\МОЯ МУЗЫКА\MY PLAYLISTS\UPDATER.EXE
    dirzooex %SystemDrive%\DOCUMENTS AND SETTINGS\MILENA\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\СТАНДАРТНЫЕ\РАЗВЛЕЧЕНИЯ
    Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над первым сообщением в теме.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  9. #8
    Junior Member Репутация
    Регистрация
    21.07.2012
    Сообщений
    22
    Вес репутации
    20
    готово

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Из присланного пожалуй только 1 файл представляет небольшой интерес, но думаю это не тело шифратора.

    Выполните скрипт в uVS:

    Код:
    ;uVS v3.83 BETA 16 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.2
    
    OFFSGNSAVE
    breg
    
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\SUPPORT\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\JJD9J5ZY\1_Z[1].BAT
    delall %SystemDrive%\1C\S.BAT
    delall %SystemDrive%\RECYCLE\S.BAT
    del %SystemDrive%\DOCUMENTS AND SETTINGS\MILENA\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\1C.LNK
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\MILENA\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\H7ZTKTWV\1CV7[1].EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\НАТАЛЬЯ\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\H7ZTKTWV\1CV7[1].EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\MILENA\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\V49XBLJS\1C[1].EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\DIRECTOR\МОИ ДОКУМЕНТЫ\AUDIODG.EXE_.BAT
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\MILENA\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\JJD9J5ZY\IEXPLORE[1].EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\MILENA\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\СТАНДАРТНЫЕ\РАЗВЛЕЧЕНИЯ\WINLOGON.EXE
    delall %SystemDrive%\RECYCLE\WINLOGON.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\MILENA\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\СТАНДАРТНЫЕ\РАЗВЛЕЧЕНИЯ\WASPPACER.EXE
    Компьютер перезагрузите вручную. Попытайтесь восстановить этот файл

    C:\Documents and Settings\Director\Мои документы\audiodg.exe
    Сделайте новый лог uVS.

    - - - - -Добавлено - - - - -

    + Еще интересует содержимое этих папок:

    C:\1c
    C:\Recycle
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  11. #10
    Junior Member Репутация
    Регистрация
    21.07.2012
    Сообщений
    22
    Вес репутации
    20

    Зашифрованые файлы, продолжение темы

    В продолжении темы (http://virusinfo.info/showthread.php?t=165550), в старой теме не дает добавлять сообщения, пишет что данному пользователю этого нельзя сделать.

    Лог:
    http://rghost.ru/57692921

    Папки

    • C:\1c
      C:\Recycle






    пустые

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Можете сделать лог uVS из под учетной записи DIRECTOR ?
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  13. #12
    Junior Member Репутация
    Регистрация
    21.07.2012
    Сообщений
    22
    Вес репутации
    20
    Из под director: http://rghost.ru/57693905

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Сделайте 3 стандартный скрипт AVZ из под этой учетной записи.

    + Этот файл не получилось восстановить?

    C:\Documents and Settings\Director\Мои документы\audiodg.exe
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  15. #14
    Junior Member Репутация
    Регистрация
    21.07.2012
    Сообщений
    22
    Вес репутации
    20
    C:\Documents and Settings\Director\Мои документы\audiodg.exe . не восстановил
    Вложения Вложения

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Логи в порядке. Самого шифратора не удалось найти. Зашли удаленно через RDP так что рекомендую поменять все пароли на сервере. Помочь с дешифровкой без тела шифратора думаю не сможем.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 30
    • В ходе лечения обнаружены вредоносные программы:
      1. \iexplore[1].exe._1e5a4e97d61d3fddbb829709b435e4efce2fd308 - Trojan-Downloader.Win32.Genome.ifcs ( BitDefender: Gen:Trojan.Heur.AutoIT.2 )
      2. \1cv7[1].exe._ec279db4725ef8d69d16f61cad9660b7b6a1b65c - not-a-virus:NetTool.Win32.Wasppace.l


  • Уважаемый(ая) marveL., наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 10
      Последнее сообщение: 12.08.2014, 16:59
    2. Ответов: 9
      Последнее сообщение: 10.08.2014, 00:34
    3. Закодированы файлы хвостик coderksu@gmail_com_id396
      От Maxim57 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 30.07.2014, 08:58
    4. вирус шифровальщик с почтой coderksu@gmail_com_id394
      От lemonkina.vera в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 24.07.2014, 11:28
    5. Зашифрованы файлы с разрешением coderksu@gmail_com_id393
      От Pavel Shumilov в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 21.07.2014, 14:41

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01364 seconds with 17 queries