Зашифрованы документы MS Office, pdf, jpg [Trojan-Ransom.Win32.Agent.ppa
]
Добрый вечер.
Прошу помощи в разборе ситуации, для расшифровки документов.
Получил письмо от "Екатерина Баулина <[email protected]>", с фишинговым содержимым, в котором открыл файл под именем "досудебная претензия.zip". Ничего не произошло с виду, ноутбук стал тормозить. Через 4 часа заметил, что файлы удалены и подменены зашифрованными копиями типа "имя файла.pdf.6081", в корне каждой папки появился файл "@Files_your_iD 10175.bMp" с требованием отправить 10000р через контакт с email [email protected] или @mail2tor.com. Требуют прикрепить ID 10175 + зашифрованный файл с цифрами на конце. 26.02 в 18:00 было 88 обращений на virustotal с этим файлом.
Kaspersky и DrWeb не идентифицировали файл с заразой. 27.02.15 Kaspersky обновился и определил файл как:
27.02.2015 8:31:23 Удалено троянская программа Trojan-Ransom.Win32.Agent.ieu C:\Users\Расуль\OneDrive\Документы\досудебная претензия.zip//Образец досудебной претензии о наличии задолженности.cmd Высокая
Плюс к этому были найдены:
26.02.2015 18:55:29 Удалено троянская программа Trojan-Downloader.Win32.Agent.gzck C:\Users\Расуль\AppData\Roaming\Microsoft\Windows\ Start Menu\Programs\Startup\search.cmd Высокая
26.02.2015 18:57:54 Удалено троянская программа Trojan-Downloader.Win32.Agent.gzck C:\Users\Расуль\Desktop\Photo.scr Высокая
Вновь добавленные в систему файлы не шифруются.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) fdobrotv, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Выделенное жирным - используется в имени файлов с картинками вымогателя
Выделенное синим - преобразуется (алгоритм не выяснял) и используется как раз в качестве ключа (понятное дело работает на копиях содержимого файла)
Выделенное красным - преобразуется и используется для шифрования исходного файла перед его усечением до нулевого размера (защита от восстановления исходного файла с помощью спецутилит)
Выделенное зеленым - дополнительное расширение, которое получают файлы
Выделенное серым - скорее всего идентификатор сервера, с которого приходил ключ
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: