Щифровальщик, который дружит с Dr.Web CureIt! [Trojan.NSIS.Inject.aq
]
"Эта дырявая лодка под названием XP обязательно затонет, вопрос только во времени."
Моя затонула. Вирус - шифровальщик. Файлы (tif, doc, jpg) зашифрованы без изменения расширений. Вирус работал одновременно с Dr.Web CureIt!
Доктор ничего не обнаружил и выдал заключение : угроз не обнаружено. Правда, в это время его уже накрыло окно с предложением выкупить "золотой" ключик с помощью Bitcoin.
Однако, и у Базилио что-то пошло не так: в красном окне не было ни адреса отправки Bitcoin, ни почты по которой можно связаться. После этого КП был проверен Malwarebytes и он упаковал запускающее тело вируса. Вручную было собрано всё, что могло иметь отношение к вирусу. Но думается, что что-то осталось.
Последний раз редактировалось vlader; 20.12.2014 в 17:08.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) vlader, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
А в Помогите+ тоже не помогут?
Хотелось бы понять к какому классу шифровальщиков относится вирус, в какую сторону смотреть. Данные есть.
Есть два файла, в которых прописана модель шифрования, clientkey и wrappedkey.
Последний раз редактировалось vlader; 20.12.2014 в 15:43.
Адрес Базилио [email protected].
Работа велась через svchost.
Попробовал отправить файлы через вложение - не получилось.
Как лучше их передать - zip архивом или прикрепить к сообщению?
Сейчас посмотрел, в основном у меня rtf, doc мало. И модель шифрования у расширений различна при открытии.
Последний раз редактировалось vlader; 20.12.2014 в 16:58.
Что-то неизвестное или из последних?
Почему сразу поставлен такой диагноз?
Адреса почты не было, ни адреса отправки Bitcoin (сумма которого была меньше 1000 руб.), ни сопроводительных писем... Пустая табличка повисела над Доктором и после перезагрузки пропала...
Всё же взгляните, пожалуйста...
Последний раз редактировалось vlader; 20.12.2014 в 17:56.
В моём случае расширение файлов не поменялось, почта не добавилась...
Характерно, что шифрование шло при отключённом интернете...
Фото и небольшой текст rtf во вложении выше...
Формат doc здесь
Последний раз редактировалось vlader; 20.12.2014 в 19:38.
Моё предположение: шифровалось GPG.
В одном файле обнаружил два ключа: clientkey и wrappedkey.
Но вот имеют ли они отношение к моим зашифрованным файлам?
Вопрос:
Закрытую часть ключа вирус должен сохранить на КП (что маловероятно) или сразу отослать вирусописателям. Но если нет связи с интернетом, как передаётся ключ? И что происходит в этом случае? Будет ждать очередного подключения, сохраняя где-то ключ? Но, если жертва больше не выйдет в интернет, смысл диалога теряется?
Хотя работать (шифровать) файлы вирус может на отключенном КП (мой случай)...
Это не про меня. Здесь всё с
"расширениями*.paycrypt@gmail_com, *.unstyx@gmail_com и *.unblck@gmail_com, *.keybtc@gmail_com. Если у вас другие расширения - вам в другую тему."
Последний раз редактировалось vlader; 20.12.2014 в 20:45.
Этот адрес я обнаружил в файле WINCMD.INI.
Расширения в зашифрованных файлах не поменялось. В моем случае не было ни KEY.PRIVATE, ни UNCRYPT.KEY ни UNIQUE.PRIVATE ни DECODE.txt...
Как я понимаю, после проплаты Bitcoin по образцам зашифрованных файлов мне бы выслали дешифратор и ключ к нему.
Получается дешифровка происходит по факту получения образцов...
Уважаемый therex, в давние времена Вы рекомендовали для расшифровки фото http://forum.kaspersky.com/index.php?showtopic=246831...
Не скажете, а для моих фото такой вариант дешифровки не подойдёт?
Пытаюсь найти хоть что-то связанное с отсутствием расширения в зашифрованных файлах...
Всех жителей Virusinfo с наступившим Новым годом!
В продолжении истории: попробовал связаться с unstyx, но безрезультатно. Письма безответны.
Сейчас готовлю обращение в техподдержку dr.Web...
Хотел узнать: работает ли ваш Интернет-магазин лицензионного софта?
Пытаюсь сделать заказ, но выдаёт Неправильный e-mail/логин или пароль
Последний раз редактировалось vlader; 10.01.2015 в 14:30.
Уважаемый(ая) vlader, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: