В программе RedirectGen всплывает сообщение, о том, что вышла новая версия:
, но на самом деле в архиве исполняемый файл называется не RedirectGen.exe, а Project1.exe и содержит вирус-шифровальщик.
Всего вирус прошёлся по 3800 папкам и оставил там файл "DecryptFiles.txt"
с почтой "[email protected]" Дата шифрования файлов вирусом, примерно 3:40 09.01.2019
Скрин работы Kaspersky RectorDecryptor(нашёл много файлов, которые не относятся к зашифрованным): Что известно об этом вирусе
Нашёл программу для дешифровки , но нужно вытащить ключ из этого трояна, который он использовал для шифровки в .dat и эта версия TeslaDecoder, не поддерживает .dat расшифровку.
Последний раз редактировалось Никита Соловьев; 10.01.2019 в 23:44.
Причина: Вредоносные программы пбуликовать запрещено. Используйте ссылку в теме "вирус или нет".
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Добавлю ещё немного инфы. Вирус начал работу в 3:37 09.01.2019, перестал шифровать в 4:45 09.01.2019 За это время он оставил 3800 файлов "DecryptFiles.txt" и прошёл столько же папок, всего закодировал ~71262 файла, используя ~3.3% от 100% процессора. Первый файл "DecryptFiles.txt", появился по пути C:\Users\ИмяПК\AppData\Local\VirtualStore далее C:\WMSDK\MTPPK12 и выше W по алфавиту, после,перейдя на внешний жёсткий диск, также поднялся снизу вверх по алфавиту. В итоге я выгрузил процесс "Project1.exe" (при запуске иконка на панели задач - не появлялась, только в диспетчере задач висел этот процесс) из диспетчера задач, видимо заметив закриптованные файлы на рабочем столе.
- - - - -Добавлено - - - - -
Сейчас только 3 антивируса на virustotal из 70(3 антвируса вообще не подгрузились) детектят "Project.exe", а остальные 67 спят! Пару дней назад детектили толко Avast и AVG, сейчас и Eset подключился.
Последний раз редактировалось pranging; 14.01.2019 в 02:29.
А что даст его взлом? Там RSA-ключ длиной 2048 бит. Он в зашифрованном виде хранится в файле 0. Сумеете за приемлемое время разложить этот ключ на два простых числа и получить приватный ключ для расшифровки?
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
А что даст его взлом? Там RSA-ключ длиной 2048 бит. Он в зашифрованном виде хранится в файле 0. Сумеете за приемлемое время разложить этот ключ на два простых числа и получить приватный ключ для расшифровки?
Знать бы, какое расширение к нему дописать. Ещё такой вопрос, перед откатом точки восстановления(после того, как вирус закончил шифровать, он не удалил теневые копии), я заходил в ShadowExplorerPortable и там было видно, что в теневой копии есть все незакриптованные файлы, но решил их восстановить после отката. После перезагрузки и успешно восстановленной точки(за день до запуска вируса), зашёл в ShadowExplorerPortable и не обнаружил, не новых, не старых точек восстановления. Как найти через Hetman Partition Recovery, R-Studio, Stellar Phoenix Windows Data Recovery - Professional, Recuva (или посоветуйте какую прогу юзать), удалённые точки и вернуть их обратно в папку System Volume Information? Ещё в windows.old (хранится отдельно на внешнем диске) есть System Volume Information и так все точки целые, как правильно перенести точки, чтобы восстановить нужные файлы через ShadowExplorer?