-
Junior Member
- Вес репутации
- 34
Пожалуйста, помогите расшифровать файлы !!!
Здравствуйте ! Сегодня обнаружил, что все файлы компании оказались в зашифрованном виде, точнее у всех файлов странная приписка в расширении, например: Мой компьютер.lnk.id-{CJPUBGLQUZEJOTYDINRWBGLQVAFKOTYDINSX-21.01.2015 5@01@184698794}[email protected]
Поискав информацию о способе лечения, наткнулся на подобную проблему, поэтому сразу подготовил файл при помощи Universal Virus Sniffer (uVS) и прикрепил его к теме.
Очень надеюсь на Вашу помощь !
Последний раз редактировалось Dee; 21.01.2015 в 16:17.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Dee, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Пароли от RDP, через который к Вам попали, смените
http://virusinfo.info/pravila.html выполните
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 34
Разумеется сменю, в данный момент сервер вообще отключен от сети и ни одна служба не запускается.
Последний раз редактировалось Dee; 21.01.2015 в 15:51.
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\sba1.tmp','');
TerminateProcessByName('c:\program files\1\explorer[1].exe');
QuarantineFile('c:\program files\1\explorer[1].exe','');
DeleteFile('c:\program files\1\explorer[1].exe','32');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\sba1.tmp','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузите вручную.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 34
Сообщение от
thyrex
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\sba1.tmp','');
TerminateProcessByName('c:\program files\1\explorer[1].exe');
QuarantineFile('c:\program files\1\explorer[1].exe','');
DeleteFile('c:\program files\1\explorer[1].exe','32');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\sba1.tmp','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузите вручную.
Пришлите карантин согласно
Приложения 2 правил по красной ссылке
Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог
полного сканирования МВАМ
Сделайте логи
RSIT
Скрипт выполнил, компьютер перезагрузил, сделал лог полного сканирования MBAM, а также 2 лога программой RSIT.
Карантин с файлом-паразитом выслал.
Мои дальнейшие действия ????
Так понимаю, попался сетевой червь Win32.Parite.B
Удалить его вроде не составляет труда, а вот как бороться с последствиями шифровальщика Trojan-Ransom.Win32.Cryakl. Есть несколько бекапов оригинальных файлов. По ходу всего файла присутствуют шифрованные участки, а также хвостовой код. Попробовал RannohDecryptor 1.8.0.0., но при указании 2-х файлов (один зашифрованный, другой оригинальный) программа ругается на разный размер файлов и отказывается продолжать работу.
Последний раз редактировалось Dee; 22.01.2015 в 18:52.
-
Поместите в карантин МВАМ всё, кроме
Код:
Registry Keys: 1
Trojan.Agent.CK, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\TNod, , [f8474cf1631992a459f9b1afa5607987],
Files: 11
Malware.Packer.95, C:\1C\EROS\EXTFORMS\Equip\scaner1c_7_7.ert.exe, , [3f001528d5a742f43dac26e07e83b14f],
Malware.Packer.95, C:\1C\EROS_05012015\EXTFORMS\Equip\scaner1c_7_7.ert.exe, , [f44b69d4c7b52b0bfced8581f30e916f],
Trojan.Agent.CK, C:\Documents and Settings\????????????N?N?N??°N???N?\Application Data\TNOD\TNODUP.exe, , [ac935de0d9a353e32b279dc317eea759],
Trojan.Agent.CK, C:\Documents and Settings\????????????N?N?N??°N???N?\Application Data\TNOD\uninst-tnod.exe, , [f8474cf1631992a459f9b1afa5607987],
Trojan.Agent.CK, C:\Documents and Settings\????????????N?N?N??°N???N?\Local Settings\Temp\ESET\TNOD.exe, , [a49b003df88440f67ed43b250cf943bd],
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 34
Сообщение от
thyrex
Поместите в карантин МВАМ всё,
кроме
Код:
Registry Keys: 1
Trojan.Agent.CK, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\TNod, , [f8474cf1631992a459f9b1afa5607987],
Files: 11
Malware.Packer.95, C:\1C\EROS\EXTFORMS\Equip\scaner1c_7_7.ert.exe, , [3f001528d5a742f43dac26e07e83b14f],
Malware.Packer.95, C:\1C\EROS_05012015\EXTFORMS\Equip\scaner1c_7_7.ert.exe, , [f44b69d4c7b52b0bfced8581f30e916f],
Trojan.Agent.CK, C:\Documents and Settings\????????????N?N?N??°N???N?\Application Data\TNOD\TNODUP.exe, , [ac935de0d9a353e32b279dc317eea759],
Trojan.Agent.CK, C:\Documents and Settings\????????????N?N?N??°N???N?\Application Data\TNOD\uninst-tnod.exe, , [f8474cf1631992a459f9b1afa5607987],
Trojan.Agent.CK, C:\Documents and Settings\????????????N?N?N??°N???N?\Local Settings\Temp\ESET\TNOD.exe, , [a49b003df88440f67ed43b250cf943bd],
Уже пробовал, вирус после перезагрузки перескакивает в другой файл. Удалял ветку реестра в безопасном режиме, но после перезапуска ситуация повторялась.
Сейчас запустился с загрузочного диска Kaspersky Rescue Disk 10 и он удаляет вирус во всех файлах... но не верю, что рескью сможешь восстановить частично зашифрованные файлы. По содержанию зашифрованного файла (несколько байт зашифровано, затем в случайном порядке 2 небольших зашифрованных участка, а в конце специфическая информация шифровальщика) на сайте Касперского заявляют, что расшифровать не представляется возможности.
-
Сообщение от
Dee
расшифровать не представляется возможности
Так и есть
А KRD похоже лечит файловый вирус Parite вдобавок
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 34
Сообщение от
thyrex
Так и есть
А KRD похоже лечит файловый вирус Parite вдобавок
Да, KRD натравил на червя, но это не самое страшное. Самое главное - потеря информации.
На форумах пишут, что DrWeb имеет все средства для дешифровки, но предоставляет помощь только лицензионным пользователям продуктов Dr.Web.
Как-то странно, тем самым они (сотрудники, которые должны бороться с подобными ситуациями) поощряют оплату "работы" создателям вредоносного софта.
-
Все вопросы к DrWeb
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 34
Сообщение от
thyrex
Все вопросы к DrWeb
У них даже на сайте сказано, что не могут гарантировать дешифровку файлов. А за лицензию всё равно заплати. И к чему тогда такая поддержка ??? Вот если бы они взяли архив с нормальными+зашифрованными файлами, попробовали декодировать, вроде как подобрали, попробовали бы декодировать несколько файлов без оригинальных. И вот тогда, при положительном ответе начали разговор о лицензии, всеми руками "за"...
А так, отдавать деньги за "кота в мешке".
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-