Показано с 1 по 9 из 9.

Снова шифровальщик. Расширение .CoDe. [Trojan.Win32.Yakes.gtnq ] (заявка № 169858)

  1. #1
    Junior Member Репутация
    Регистрация
    21.05.2010
    Сообщений
    12
    Вес репутации
    28

    Снова шифровальщик. Расширение .CoDe. [Trojan.Win32.Yakes.gtnq ]

    Здравствуйте.
    Вновь один из клиентов словил шифровальщик. Само письмо удалено, что там было сказать не могу. Большинство файлов на двух компьютерах (с которых, очевидно, открыли это письмо) и на общей сетевой папке, подключенной сетевым диском, зашифровалось, добавилось расширение .CoDe. Кстати на этот раз не были зашифрованы музыкальные файлы. Также появился текстовый файл со следующим содержимым:

    "Фaйлы зaшифpoваны


    Стоимость paсшифpoвки 10.000 рублей


    1) Отправьте на почту ual@lelantos.org файл, который Вы сейчас читаете (файл Файлы зaшифpoваны.txt)


    2) Отправьте 1 зaшифpoваный файл небольшого размера (файл с расширением CoDe).


    ВЫ ДОЛЖНЫ ПРИСЛАТЬ 2 ФАЙЛА: Файлы зaшифpoваны.txt, зaшифpoваный файл.


    В ответ придет оригинальный файл и инструкция для оплаты.


    Ответ на Ваше письмо придет в течение 1-36 часов.


    Если ответ не приходит более 36 часов - отпишите на резервную почту g650@mail2tor.com"

    Прилагаю логи с одной из машин. Очень прошу помощи, много важных файлов хранилось именно локально (общую папку восстановил из бэкапа). Сообщите пожалуйста, если необходимы логи и со второй машины.
    Заранее благодарен.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,460
    Вес репутации
    342
    Уважаемый(ая) Decline, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    21.05.2010
    Сообщений
    12
    Вес репутации
    28
    На общей папке обнаружен еще один текстовый файл с именем второй зашифрованной машины в названии. Тут сохранились еще некие ключи:

    "Фaйлы зaшифpoваны

    Стоимость paсшифpoвки 10.000 рублей

    1) Отправьте на почту ual@lelantos.org файл, который Вы сейчас читаете (файл Файлы зaшифpoваны.txt)

    2) Отправьте 1 зaшифpoваный файл небольшого размера (файл с расширением CoDe).

    ВЫ ДОЛЖНЫ ПРИСЛАТЬ 2 ФАЙЛА: Файлы зaшифpoваны.txt, зaшифpoваный файл.

    В ответ придет оригинальный файл и инструкция для оплаты.

    Ответ на Ваше письмо придет в течение 1-36 часов.

    Если ответ не приходит более 36 часов - отпишите на резервную почту g650@mail2tor.com

    ---
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

    ---
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

    Очевидно общая папка зашифровалась именно с того компьютера. На первом же в появившихся текстовых документах нижнего циферно-буквенного блока нет. А также в корне диска появилась папка wiNtmp с файлами mecrypalgoritm.exe, openAirx.exe, winserv.exe, passA, passB.
    Последний раз редактировалось Decline; 31.10.2014 в 09:11.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Цитата Сообщение от Decline Посмотреть сообщение
    папка wiNtmp
    удаляйте

    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Windows\System32\UKbhokLVglKmPI.exe','');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
     DeleteFile('C:\Windows\System32\UKbhokLVglKmPI.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','NRYj__DJCBTOoBaXynvyEbkAgl');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Обновите базы AVZ

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. Это понравилось:


  7. #5
    Junior Member Репутация
    Регистрация
    21.05.2010
    Сообщений
    12
    Вес репутации
    28
    Благодарю за ответ. Карантин выслал, логи прикладываю.
    Еще осталась слабая надежда на расшифровку...)
    Вложения Вложения

  8. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Сделайте логи RSIT
    Сделайте такой лог
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. Это понравилось:


  10. #7
    Junior Member Репутация
    Регистрация
    21.05.2010
    Сообщений
    12
    Вес репутации
    28
    Готово. Расшифровка - не?...
    Вложения Вложения

  11. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Исправляйте ярлыки
    C:\Users\Public\Desktop\Mozilla Firefox.lnk
    C:\Users\User6\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
    C:\Users\User6\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
    C:\Users\User6\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk
    C:\Users\User6\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome (2).lnk
    C:\Users\User6\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
    C:\Users\User6\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk
    C:\Users\User6\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Панель запуска приложений Chrome.lnk
    Папку C:\wiNtmp удалите

    Цитата Сообщение от Decline Посмотреть сообщение
    Расшифровка - не?...
    На данный момент - нет. Появится или нет, ответить затруднительно
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. Это понравилось:


  13. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\ukbhoklvglkmpi.exe - Trojan.Win32.Yakes.gtnq ( DrWEB: Trojan.Inject1.45434, BitDefender: Trojan.GenericKD.1938037, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Decline, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Поймал шифровальщик CoDe
      От Romego1989 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 02.11.2014, 16:36
    2. Ответов: 4
      Последнее сообщение: 31.10.2014, 21:24
    3. Поймал шифровальщик .CoDe
      От Bercut89 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 31.10.2014, 21:14
    4. Ответов: 10
      Последнее сообщение: 23.05.2012, 15:01
    5. Ответов: 1
      Последнее сообщение: 15.04.2012, 16:18

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00277 seconds with 17 queries