green711 0 Опубликовано 7 сентября, 2012 Share Опубликовано 7 сентября, 2012 Здравствуйте. Установлен KIS2012 с последними базами. При включении компьютера из автозагрузки загрузился файл: HOW TO DECRYPT FILES.txt с текстом: " Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом. Вся Ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024. Все зашифрованые файлы имеют формат .ENC Восстановить файлы можно только зная уникальный для вашего пк пароль. Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода. Не в коем случае не изменяйте файлы, иначе разблокировать даже нам будет не под силу. Напишите нам письмо на адрес decrypting-files@yandex.ru чтобы узнать как получить дескриптор и пароль. Среднее время ответа специалиста 3-5 часов. К письму прикрепите файл "HOW TO DECRYPT FILES.TXT". Письма с угрозами будут угрожать только Вам и Вашим файлам! НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы! ==================================================================== Odgh447DRMAQUaP8i2t6R0paHu02X73 ==================================================================== " Все файлы стали иметь расширение: *.ENC и насколько я понял стали зашифрованы. Очень прошу помочь. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 7 сентября, 2012 Share Опубликовано 7 сентября, 2012 Это скорее всего одна из разновидностей GpCode. Без закрытого ключа, известного только злоумышленникам, расшифровать невозможно Цитата Ссылка на сообщение Поделиться на другие сайты
gecsagen 279 Опубликовано 7 сентября, 2012 Share Опубликовано 7 сентября, 2012 RSA1024 действительно не удавалось расшифровать еще ни кому. Цитата Ссылка на сообщение Поделиться на другие сайты
w123 0 Опубликовано 8 сентября, 2012 Share Опубликовано 8 сентября, 2012 На сервере были зашифрованы файлы, расширение зашифрованных файлов ENC. Сообщение в файле "HOW TO DECRYPT FILES.txt" такое же или подобное, что опубликовал green711. Направил письмо по указанному адресу с просьбой расшифровать один файл. После чего, через некоторое время, некто зашёл на сервер. Произведя подключение к сеансу незнакомца, мной был обнаружен браузер с открытой страничкой на которой была ссылка на дешифратор, коим я успешно воспользовался для расшифровки файлов. Прилагаю архив с дешифратором, может кому поможет. Вот одно из писем, полученных от анонимного лица: Здравствуйте!Чтобы получить дискриптор и пароль для расшифровки Ваших файлов, необходимо пополнить наш счет QIWI, на сумму 10 000 рублей через любой салон сотовой связи "Евросеть" либо через любой терминал оплаты услуг сотовой связи. Сохраните квитанцию об оплате, на случай форс-можерных обстоятельств. После поступления средств мы моментально вышлем вам инструкцию для дешифровки ваших файлов вместе с расшифровщиком и паролем. Мы готовы расшифровать любой небольшой файл для подтверждения своих намерений. Реквизиты вышлем за несколько часов до оплаты, потому как они постоянно меняются. Пожалуйста, не изменяйте тему сообщения, С Уважением, Decrypting. В связи с чем у меня вопроc: можно ли используя платёжные реквизиты отследить жулика, и в какую службу лучше обратиться. Decript2Pack.zip Цитата Ссылка на сообщение Поделиться на другие сайты
green711 0 Опубликовано 10 сентября, 2012 Автор Share Опубликовано 10 сентября, 2012 Насколько я понял, Trojan-Ransom.Win32.GpCode после того как сделает свое грязное дело самоудаляется. Я сделал полную проверку компьютера установленным на нем KIS2012 (лицензионным), потом проверил в безопасном режиме CureIT'ом, ничего не нашел. Удалил из реестра все записи "how to decrypt files.txt". Сегодня создал нового пользователя на данном ПК, поместил его в группу администраторов, зашел с другого ПК через удаленный рабочий стол и через несколько секунд после входа, у меня на экране снова вылез данный файл how to decrypt files.txt. Т.е. получается данный вирус до сих пор жив? Как же его убить? Форматирование не предлагать (об этом способе я и сам знаю). Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 10 сентября, 2012 Share Опубликовано 10 сентября, 2012 Т.е. получается данный вирус до сих пор жив? чтобы это понять, внимательно прочитайте и аккуратно выполните указания в теме Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 705 Опубликовано 11 сентября, 2012 Share Опубликовано 11 сентября, 2012 Сообщение от модератора Mark D. Pearlstone Одно из сообщений перенесено в новую тему http://forum.kasperskyclub.ru/index.php?showtopic=37067 Цитата Ссылка на сообщение Поделиться на другие сайты
green711 0 Опубликовано 17 сентября, 2012 Автор Share Опубликовано 17 сентября, 2012 чтобы это понять, внимательно прочитайте и аккуратно выполните указания в теме Порядок оформления запроса о помощи Исправился. Вопрос тот же: Насколько я понял, Trojan-Ransom.Win32.GpCode после того как сделает свое грязное дело самоудаляется. Я сделал полную проверку компьютера установленным на нем KIS2012 (лицензионным), потом проверил в безопасном режиме CureIT'ом, ничего не нашел. Удалил из реестра все записи "how to decrypt files.txt". Сегодня создал нового пользователя на данном ПК, поместил его в группу администраторов, зашел с другого ПК через удаленный рабочий стол и через несколько секунд после входа, у меня на экране снова вылез данный файл how to decrypt files.txt. Т.е. получается данный вирус до сих пор жив? Как же его убить? Форматирование не предлагать (об этом способе я и сам знаю). Также проверил ветки реестра, которые отвечают за автозагрузку. Заменил файл userinit.exe и explorer.exe на заведомо исправные. Сообщение от модератора Mark D. Pearlstone Не выкладывайте virusinfo_cure.zip на форум. Файл удалён. virusinfo_syscure.zip virusinfo_syscheck.zip log.txt info.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 17 сентября, 2012 Share Опубликовано 17 сентября, 2012 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\Temp\ntshrui.dll.',''); QuarantineFile('C:\WINDOWS\Offline Web Pages\cache.txt',''); QuarantineFile('C:\Documents and Settings\User2\Главное меню\Программы\Автозагрузка\HOW TO DECRYPT FILES.txt',''); QuarantineFile('C:\Documents and Settings\User2\Application Data\Microsoft\Internet Explorer\Quick Launch\HOW TO DECRYPT FILES.txt',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\teefer2.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\SSPORT.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\PROCEXP151.SYS',''); QuarantineFile('C:\WINDOWS\system32\Drivers\DgiVecp.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys',''); DeleteFile('C:\Documents and Settings\User2\Application Data\Microsoft\Internet Explorer\Quick Launch\HOW TO DECRYPT FILES.txt'); DeleteFile('C:\Documents and Settings\User2\Главное меню\Программы\Автозагрузка\HOW TO DECRYPT FILES.txt'); DeleteFile('C:\WINDOWS\Offline Web Pages\cache.txt'); DeleteFile('C:\WINDOWS\Temp\ntshrui.dll.'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\6to4\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Ias\Parameters','ServiceDll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R3 - Default URLSearchHook is missing O4 - S-1-5-21-1715567821-790525478-682003330-1005 Startup: HOW TO DECRYPT FILES.txt (User 'User2') O4 - S-1-5-21-1715567821-790525478-682003330-1005 User Startup: HOW TO DECRYPT FILES.txt (User 'User2') Сделайте новые логи по правилам. + Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup-<current number>.exe Обновите базы. После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить"). Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
green711 0 Опубликовано 18 сентября, 2012 Автор Share Опубликовано 18 сентября, 2012 Malwarebytes' Anti-Malware нашла четыре трояна, их удалил. Файл Quarantine.zip отправил через личный кабинет. Как только получу ответ, отпишусь. Дешифратор, который выложил w123 Decript2Pack.zip файлы расшифровал, но, все с ошибкой, т.е. открываешь, а там "каша". info.txt log.txt mbam_log_2012_09_18__11_55_04_.txt virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 19 сентября, 2012 Share Опубликовано 19 сентября, 2012 Дешифратор, который выложил w123 Decript2Pack.zip файлы расшифровал, но, все с ошибкой дешифратор уникальный для каждого случая... Удалите в MBAM только следующие объекты: Обнаруженные ключи в реестре: 1 HKLM\SOFTWARE\JetSwap (Adware.JetSwap) -> Действие не было предпринято. Обнаруженные файлы: 3 C:\Documents and Settings\User1\Local Settings\Temporary Internet Files\Content.IE5\45QRWT2Z\winlogon[1].exe (Trojan.FakeMS) -> Действие не было предпринято. После удаления прикрепите новый полученный лог MBAM. Файлы C:\Documents and Settings\User1\Windows\system\Safesurf\safesurf.exe C:\WINDOWS\Config\all\Safesurf\safesurf.exe проверьте на virustotal.com 2 ссылки на результаты проверки приложите. Проверьте компьютер утилитой из данной статьи http://support.kaspersky.ru/faq/?qid=208639606 перед началом сканирования выберите "изменить параметры проверки" и отметьте 2 дополнительные опции. полученный лог с корня диска С приложите. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 19 сентября, 2012 Share Опубликовано 19 сентября, 2012 + http://download.geo.drweb.com/pub/drweb/to...e157decrypt.exe пробуйте Цитата Ссылка на сообщение Поделиться на другие сайты
green711 0 Опубликовано 20 сентября, 2012 Автор Share Опубликовано 20 сентября, 2012 thyrex Выражаю Вам свою глубочайшую признательность за ссылку, и конечно же разработчикам из DrWeb. Данный дешифратор помог, все расшифровал (приятно удивила скорость расшифровки, на несколько тысяч зашифрованных файлов ушло не более получаса). Запускал его так: te157decrypt.exe -p Odgh447DRMAQUaP8i2t6R0paHu02X73 Где Odgh447DRMAQUaP8i2t6R0paHu02X73 - ключ из файла HOW TO DECRYPT FILES.txt Roman_Five Вам большое спасибо за то, что продолжаете заниматься моей проблемой. 1) Обнаруженные угрозы MBAM я удалил еще в первый раз. Заново просканировал. 2) Файлы похоже были удалены, поэтому отправить в virustotal.com не могу C:\Documents and Settings\User1\Windows\system\Safesurf\safesurf.exe C:\WINDOWS\Config\all\Safesurf\safesurf.exe 3) Утилитой TDSSKiller проверку сделал (с отмеченными двумя дополнительными опциями). mbam_log_2012_09_19__17_47_35_.txt TDSSKiller.2.8.10.0_20.09.2012_09.18.14_log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 20 сентября, 2012 Share Опубликовано 20 сентября, 2012 продолжаете заниматься моей проблемой у Вас были следы старого заражения... сейчас всё чисто. деинсталлируйте MBAM. Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 705 Опубликовано 22 сентября, 2012 Share Опубликовано 22 сентября, 2012 Сообщение от модератора Mark D. Pearlstone Одно из сообщений перенесено в новую тему http://forum.kasperskyclub.ru/index.php?showtopic=37219 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.