Показано с 1 по 10 из 10.

email-trojanencoder@aol.com.ver-CL 1.2.0.0.id-.... (DRWEB: Trojan.Encoder.567) (заявка № 199375)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    08.04.2016
    Сообщений
    6
    Вес репутации
    7

    email-trojanencoder@aol.com.ver-CL 1.2.0.0.id-.... (DRWEB: Trojan.Encoder.567)

    Помогите расшифровать файлы, злыдни просят 15 тыс. руб.
    В день заражения его ловили только 3 антивируса нерусских.
    https://www.virustotal.com/ru/file/9...is/1460145236/

    Протоколы получены запуском в виртуалбоксе, на работающем сервере эксперименты проводить неохота.
    Вирус уже удалён, нужна расшифровка файлов.
    Ключ странно короткий, файл HKAABODHYO.WZA 81 байт всего.

    Образцы 2х исходных и шифрованных фото (jpg) вложены.

    Начало тут было: http://safezone.cc/threads/email-tro...-0-0-id.27436/
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,457
    Вес репутации
    343
    Уважаемый(ая) kpfk, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,386
    Вес репутации
    1029
    Нет у тебя больше файлов. Кстати от первого шифровальщика все равно следы остались.

    Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

    Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
     DeleteFile('C:\Program Files\service.exe','32');
     DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\revlt.js','32');
     DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\VAULT.txt','32');
     DeleteFile('C:\Documents and Settings\1\Application Data\VAULT.hta','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vltnotify','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vlt notify','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VAULT Notification','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tnotify','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GnuPG','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
    3. Нажмите кнопку Scan.
    4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  5. #4
    Junior Member (OID) Репутация
    Регистрация
    08.04.2016
    Сообщений
    6
    Вес репутации
    7
    Насколько часто выходят программы расшифровки типа
    https://support.kaspersky.ru/viruses/disinfection/11333
    http://download.geo.drweb.com/pub/dr...567decrypt.exe ??
    У др.вебов почему-то ИНН вымогателя 2 года не меняется

    Если вирус был запущен в терминальном сеансе винды, настроенной на удаление временных папок при выходе, есть шансы на сохранность ключа шифрования? Писать в %program files% user не мог, а вирус запчасти туда складывал или в %temp%.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,386
    Вес репутации
    1029
    Для этого шифровальщика не будет расшифровки. Ключевая информация шифруется тремя разными RSA ключами по 2048 бит каждый.

    есть шансы на сохранность ключа шифрования?
    Он локально не сохраняет ключи. В тушке шифровальщика прописаны 3 публичных RSA ключа, которыми он и шифрует ключевую информацию, необходимую для расшифровки файлов.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  7. Это понравилось:


  8. #6
    Junior Member (OID) Репутация
    Регистрация
    08.04.2016
    Сообщений
    6
    Вес репутации
    7
    Если удалить интерпретаторы Windows Script Host (файлы wscript.exe, cscript.exe), то какие-то полезные программы это почувствуют?
    Дома-то я их снёс без последствий, но винда морально старевшая, всяческие несовместимости постепенно нарастают.
    А "вирусня" долго ещё будет ими пользоваться?
    Такие трояны уже работают в 64-битной среде?

  9. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,386
    Вес репутации
    1029
    Если удалить интерпретаторы Windows Script Host (файлы wscript.exe, cscript.exe), то какие-то полезные программы это почувствуют?
    Зачем их удалять? Вообще это системные файлы, а удаление системных файлов обычно ни к чему хорошему не приводит.

    Такие трояны уже работают в 64-битной среде?
    Работают. Такие шифровальщики есть и под Linux с MacOS, но они пока находятся на стадии развития.

    А "вирусня" долго ещё будет ими пользоваться?
    Этот вопрос я не понял.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  10. #8
    Junior Member (OID) Репутация
    Регистрация
    08.04.2016
    Сообщений
    6
    Вес репутации
    7
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Зачем их удалять? Вообще это системные файлы, а удаление системных файлов обычно ни к чему хорошему не приводит.
    nwscript.exe точно мне не нужен, запчасть от мертвой ОСи, которую я лет 15 назад только видел.
    GWX вы тоже имеете и пользуетесь?

    Цитата Сообщение от mike 1 Посмотреть сообщение
    Этот вопрос я не понял.
    Если по клику на *.js файле откроется блокнот, а не интерпретатор команд, когда хакеры это исправят?

    Т.е. будут ли они переходить от локальных скриптов к полноценным .exe при снижении денежного потока?

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,386
    Вес репутации
    1029
    GWX вы тоже имеете и пользуетесь?
    У меня Windows 10 установлена.

    Running from C:\Users\Mike\Desktop
    Windows 10 Pro Version 1511 (X64) (2016-01-17 20:11:29)
    Boot Mode: Normal
    Если по клику на *.js файле откроется блокнот, а не интерпретатор команд, когда хакеры это исправят?
    По умолчанию не откроется, но если применить такой твик, то откроется редактор.

    Код:
    Windows Registry Editor Version 5.00
    
    ;Включить отображение расширения файла
    [HKEY_CLASSES_ROOT\JSFile]
    "AlwaysShowExt"=""
    "BrowserFlags"=dword:00000008
    
    ;По умолчанию открывать файл в редакторе
    [HKEY_CLASSES_ROOT\JSFile\Shell]
    @="Edit"
    Т.е. будут ли они переходить от локальных скриптов к полноценным .exe при снижении денежного потока?
    Это вы у них спросите. Почта у вас есть trojanencoder@aol.com
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  12. #10
    Junior Member (OID) Репутация
    Регистрация
    08.04.2016
    Сообщений
    6
    Вес репутации
    7
    Цитата Сообщение от mike 1 Посмотреть сообщение
    По умолчанию не откроется, но если применить такой твик, то откроется редактор.
    А потом комбофикс или FRST это исправят в "нормальное" состояние. Или microsoft выпустит очередной BSOD "патч" или GWXIII, хуже вируса

Похожие темы

  1. Ответов: 12
    Последнее сообщение: 08.09.2015, 10:41
  2. Ответов: 5
    Последнее сообщение: 04.06.2015, 19:10
  3. Ответов: 16
    Последнее сообщение: 15.01.2015, 15:55
  4. Ответов: 2
    Последнее сообщение: 21.12.2014, 01:30

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00257 seconds with 17 queries