Показано с 1 по 10 из 10.

Шифровальщик neitrino [Trojan-Downloader.Win32.Rakhni.gw ] (заявка № 193469)

  1. #1
    Junior Member Репутация
    Регистрация
    26.11.2015
    Сообщений
    5
    Вес репутации
    8

    Шифровальщик neitrino [Trojan-Downloader.Win32.Rakhni.gw ]

    Добрый день!

    Вирус портит файлы основных форматов (офисные, изображения, архивы). "Пожрал" пока ещё не всё. Загружать систему опасно, чтобы всё не "съел". Вероятно, заражение произошло при открытии файла из письма-резюме. Файл переименован в rezume-docx (сейчас преднамеренно изменено расширение). Требование злоумышленников в файле MESSAGE.txt (эти файлы создались в большинстве папок). Несколько зашифрованных файлов, а также незашифрованные (совпадают по имени, например ВЛК 2.doc и ВЛК 2.doc.neitrino или МСИ.ppt и МСИ.ppt.neitrino), которые удалось восстановить из архива, не попавшего пока под шифрование. Однако, идентичность файлов не гарантируется, поскольку после извлечения их из архива и до шифрования, возможно они редактировались.

    Учитывая, что при поиске ключа может помочь файл Наталья.neitrino, обнаруженный в папке c:\User\ (пользователь Наталья Крислатая), он тоже выложен в файлообменник.

    В службе технической поддержки "Доктор Веб" ответили: "Файлы зашифрованы одним из вариантов Trojan.Encoder.263. К сожалению, для этой его разновидности (использующей шифр RSA) расшифровка нашими силами невозможна. Восстановление данных - только из резервных копий (если велось резервное копирование)."

    Всё лежит здесь: http://dropbox.com/sh/8u2yv2grq5sh1n...SUMk5TLdRZWTYa

    По результатам проверки, очевидно, должно быть понятно, продолжает ли шифровальщик свою деятельность дальше, либо можно продолжать работать в системе не опасаясь, что будут испорчены прочие файлы?
    Вложения Вложения
    Последний раз редактировалось toozzer; 26.11.2015 в 22:21.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,464
    Вес репутации
    343
    Уважаемый(ая) toozzer, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,832
    Вес репутации
    842
    Шифровальщик неактивен.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    26.11.2015
    Сообщений
    5
    Вес репутации
    8
    Прикладываю!
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,832
    Вес репутации
    842
    Выполните скрипт в AVZ:
    Код:
    begin
    QuarantineFile('C:\Users\MESSAGE.txt','');
    QuarantineFile('C:\ProgramData\svchost.bat','');
    QuarantineFile('C:\ProgramData\AdobeSystem.exe','');
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    CreateRestorePoint:
    HKLM\...\Run: [] => [X]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\MESSAGE.txt [2015-11-25] ()
    Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MESSAGE.txt [2015-11-25] ()
    Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MESSAGE.txt [2015-11-25] ()
    Startup: C:\Users\Наталья Крислатая\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MESSAGE.txt [2015-11-25] ()
    GroupPolicyScripts: Restriction <======= ATTENTION
    BHO: StartNow Toolbar Helper -> {6E13D095-45C3-4271-9475-F3B48227DD9F} -> C:\Program Files\StartNow Toolbar\Toolbar32.dll [2011-07-27] ()
    Toolbar: HKLM - StartNow Toolbar - {5911488E-9D1E-40ec-8CBB-06B231CC153F} - C:\Program Files\StartNow Toolbar\Toolbar32.dll [2011-07-27] ()
    C:\Program Files\StartNow Toolbar
    2015-11-25 09:59 - 2015-11-25 09:59 - 00000410 _____ C:\Users\Public\Downloads\MESSAGE.txt
    2015-11-25 09:56 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Public\MESSAGE.txt
    2015-11-25 09:56 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default\Downloads\MESSAGE.txt
    2015-11-25 09:56 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default\Documents\MESSAGE.txt
    2015-11-25 09:56 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default\Desktop\MESSAGE.txt
    2015-11-25 09:56 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MESSAGE.txt
    2015-11-25 09:56 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\MESSAGE.txt
    2015-11-25 09:56 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default\AppData\Roaming\MESSAGE.txt
    2015-11-25 09:56 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default\AppData\LocalLow\MESSAGE.txt
    2015-11-25 09:56 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default User\Downloads\MESSAGE.txt
    2015-11-25 09:56 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default User\Documents\MESSAGE.txt
    2015-11-25 09:56 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default User\Desktop\MESSAGE.txt
    2015-11-25 09:56 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MESSAGE.txt
    2015-11-25 09:56 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\MESSAGE.txt
    2015-11-25 09:56 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default User\AppData\Roaming\MESSAGE.txt
    2015-11-25 09:56 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default User\AppData\LocalLow\MESSAGE.txt
    2015-11-25 09:55 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default\MESSAGE.txt
    2015-11-25 09:55 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default\AppData\Local\MESSAGE.txt
    2015-11-25 09:55 - 2015-11-25 09:56 - 00000410 _____ C:\Users\Default User\AppData\Local\MESSAGE.txt
    2015-11-25 09:55 - 2015-11-25 09:55 - 00000410 _____ C:\Users\Default\AppData\MESSAGE.txt
    2015-11-25 09:55 - 2015-11-25 09:55 - 00000410 _____ C:\Users\Default User\AppData\MESSAGE.txt
    2015-11-25 09:54 - 2015-11-25 10:01 - 00000410 _____ C:\Users\Все пользователи\MESSAGE.txt
    2015-11-25 09:54 - 2015-11-25 10:01 - 00000410 _____ C:\Users\Public\Documents\MESSAGE.txt
    2015-11-25 09:54 - 2015-11-25 10:01 - 00000410 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MESSAGE.txt
    2015-11-25 09:54 - 2015-11-25 10:01 - 00000410 _____ C:\ProgramData\Microsoft\Windows\Start Menu\MESSAGE.txt
    2015-11-25 09:54 - 2015-11-25 10:01 - 00000410 _____ C:\ProgramData\MESSAGE.txt
    2015-11-25 09:48 - 2015-11-25 09:48 - 00000410 _____ C:\Program Files\Common Files\MESSAGE.txt
    2015-11-25 09:47 - 2015-11-25 09:55 - 00000410 _____ C:\Users\MESSAGE.txt
    2015-11-25 09:47 - 2015-11-25 09:47 - 00000410 _____ C:\Program Files\MESSAGE.txt
    2015-11-25 09:26 - 2015-11-25 09:26 - 00000420 _____ C:\ProgramData\svchost.bat
    2015-11-20 09:33 - 2015-11-20 02:33 - 00867296 ____H C:\ProgramData\AdobeSystem.exe
    2015-11-25 10:32 - 2015-11-25 10:34 - 0000410 _____ () C:\Users\Наталья Крислатая\AppData\Roaming\MESSAGE.txt
    2015-11-25 10:01 - 2015-11-25 10:01 - 0000410 _____ () C:\Users\Наталья Крислатая\AppData\Local\MESSAGE.txt
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    26.11.2015
    Сообщений
    5
    Вес репутации
    8
    Выполнено!
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,832
    Вес репутации
    842
    C расшифровкой, как я понимаю, пока без вариантов.

    Была бы какая-то надежда найти исходные файлы в теневых копиях: в свойствах папки с зашифрованными документами на закладке "Предыдущие версии". Но самая старая точка восстановления создана уже после шифрования, так что... Скорее всего, шифровальщик удалил, а всё почему - пользователь работает с правами администратора, что очень не рекомендуется.

    Ознакомьте пользователей: Даешь просвещение в массы начальников, секретарей, бухгалтеров и клерков.
    WBR,
    Vadim

  9. Это понравилось:


  10. #8
    Junior Member Репутация
    Регистрация
    26.11.2015
    Сообщений
    5
    Вес репутации
    8
    Спасибо! Да, теневые копии уже проверены. Стоит ли ещё на что-то надеяться?

    - - - - -Добавлено - - - - -

    А файл "Наталья.neitrino" из папки "C:\Users\" тоже ни о чём не говорит?

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,832
    Вес репутации
    842
    Для вымогателей только.

    Удалите папку C:\FRST со всем содержимым.

    Выполните рекомендации после лечения.
    WBR,
    Vadim

  12. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\programdata\adobesystem.exe - Trojan-Downloader.Win32.Rakhni.gw ( AVAST4: Win32:Evo-gen [Susp] )


  • Уважаемый(ая) toozzer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. .neitrino
      От Артем11111 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 30.10.2015, 13:56
    2. neitrino шифровальщик
      От shizo в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 17.10.2015, 20:06
    3. Neitrino
      От ivan90 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.10.2015, 13:53
    4. neitrino@protonmail.com
      От Antoshik86 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 06.10.2015, 18:46
    5. Проблема с шифрованием файлов от .neitrino!
      От МаксимКи в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 02.10.2015, 07:14

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01545 seconds with 17 queries