-
Junior Member
- Вес репутации
- 53
Троянец-шифратор.
Здравствуйте, столкнулся с очень неприятным вирусом/вирусами, и к сожалению плоды его деятельности обнаружил слишком поздно...
Собственно, чем он занимается: плодит себя в разных козырных местах, наподобе /system32/, /system32/drivers/, и в корне. Также был замечен в папке application data/temp i-net files/.
Удалил его с помощью AVZ, почистил автозагрузку, ребутнулся, вроде бы всё ок. Потом оставил комп на пару часов, и вирус стал промышлять. Как я понял он зашифровал кучу файлов, размером мегабайт эдак до 15-20, исключая экзешники и мб оставил в покое файлы с редко встречающимися расширениями. В основном под удар попали текстовые файлы, архивы, картинки и т.д.
Когда подошёл к компу, увидел весёлую мессагу в блокноте:
Внимание!
Ваши файлы зашифрованы!
Чтобы расшифровать файлы, отправьте SMS "212525" (без кавычек) на номер 8353
Так же покопавшить в систем руте, нашёл CryptLogFile.txt, судя по содержимому там просто список зашифрованных файлов. Весит немало, около 20мб, да и то по-моему там не все логи, ибо файлов изменённых гораздо больше. Так же во время деятельности виря, не хотел лазить по инету через http, в то время как irс и торрент-клиент работали без проблем.
Логи от AVZ и hijackthis по-моему девственно чисты, ибо я к этому моменту его уже потёр(как мне кажется). В любом во время того, как я с ним боролся, встречались 4-х(5-ти) буквенные имена 2-х экзешников, на Ch* и на B*, плюс ещё был замечен файл windows7addon.exe
EDITED: По поводу первых двух вирусов. В этой теме http://virusinfo.info/showthread.php?t=57291 по-моему фигурируют теже самые файлы вирей, что и у меня в своё время:
C:\WINDOWS\system32\drivers\BSrBT.exe
C:\WINDOWS\system32\00.scr
C:\WINDOWS\system32\07.scr
C:\WINDOWS\system32\13.scr
C:\WINDOWS\system32\45.scr
При проверке AVZ ругался на что-то наподобе Trojan.Win32.Buzus.cjdb
Антивирусов не стоит, ОС: win xp sp3.
Собственно прошу знатаков помочь с восстановлением файлов. Образцы зашифрованных файлов и оригиналов могу предоставить.
Последний раз редактировалось RainDrops; 28.10.2009 в 12:28.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Попробуйт эту утилиту для дешифровки: ftp://ftp.drweb.com/pub/drweb/windows/te_decrypt.exe
Выполните в AVZ скрипт ScanWin.txt и приложите сюда файл c:\avz_log.txt.
-
-
Junior Member
- Вес репутации
- 53
Утилита не помогла. Скрипт выполнил, нашлись некоторые уязвимости, лог прилагается.
-
Ставьте патчи.
Сделайте запрос на лечение тут: https://vms.drweb.com/sendvirus/
-
-
Junior Member
- Вес репутации
- 53
Проблема с дешифровкой решена. Спецы из доктор Веба оперативно откликнулись, за что им огромное спасибо.
Утилита для дешифровки: ftp://ftp.drweb.com/pub/drweb/tools/te47decrypt.exe