Перейти к содержимому


Фотография
- - - - -

Все файлы стали с расширением *.ENC

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 15

#1 OFF   green711

green711

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 07 Сентябрь 2012 - 09:06

Здравствуйте. Установлен KIS2012 с последними базами. При включении компьютера из автозагрузки загрузился файл: HOW TO DECRYPT FILES.txt с текстом:

"
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.
Все зашифрованые файлы имеют формат .ENC
Восстановить файлы можно только зная уникальный для вашего пк пароль.
Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода.
Не в коем случае не изменяйте файлы, иначе разблокировать даже нам будет не под силу.
Напишите нам письмо на адрес decrypting-files@yandex.ru чтобы узнать как получить дескриптор и пароль.
Среднее время ответа специалиста 3-5 часов.
К письму прикрепите файл "HOW TO DECRYPT FILES.TXT".
Письма с угрозами будут угрожать только Вам и Вашим файлам!
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!



====================================================================
Odgh447DRMAQUaP8i2t6R0paHu02X73
====================================================================


"

Все файлы стали иметь расширение: *.ENC и насколько я понял стали зашифрованы. Очень прошу помочь.
  • 0

#2 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 796

Награды

           

Отправлено 07 Сентябрь 2012 - 11:39

Это скорее всего одна из разновидностей GpCode. Без закрытого ключа, известного только злоумышленникам, расшифровать невозможно
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#3 OFF   gecsagen

gecsagen

    Гроссмейстер

  • Старожилы
  • PipPipPipPipPip
  • Cообщений: 620

Отправлено 07 Сентябрь 2012 - 18:08

RSA1024 действительно не удавалось расшифровать еще ни кому.
  • 0

gecsagen © 

Анонимность в интернете, браузер Tor: https://forum.kasper...ic=47984&page=7

____________________________________________________________________________________________

 


#4 OFF   w123

w123

    Новичок

  • Новички
  • Cообщений: 1

Отправлено 08 Сентябрь 2012 - 20:08

На сервере были зашифрованы файлы, расширение зашифрованных файлов ENC. Сообщение в файле "HOW TO DECRYPT FILES.txt" такое же или подобное, что опубликовал green711. Направил письмо по указанному адресу с просьбой расшифровать один файл. После чего, через некоторое время, некто зашёл на сервер. Произведя подключение к сеансу незнакомца, мной был обнаружен браузер с открытой страничкой на которой была ссылка на дешифратор, коим я успешно воспользовался для расшифровки файлов. Прилагаю архив с дешифратором, может кому поможет.
Вот одно из писем, полученных от анонимного лица:

Здравствуйте!
Чтобы получить дискриптор и пароль для расшифровки Ваших файлов, необходимо пополнить наш счет QIWI, на сумму 10 000 рублей через любой салон сотовой связи "Евросеть" либо через любой терминал оплаты услуг сотовой связи.
Сохраните квитанцию об оплате, на случай форс-можерных обстоятельств.
После поступления средств мы моментально вышлем вам инструкцию для дешифровки ваших файлов вместе с расшифровщиком и паролем.
Мы готовы расшифровать любой небольшой файл для подтверждения своих намерений.
Реквизиты вышлем за несколько часов до оплаты, потому как они постоянно меняются.
Пожалуйста, не изменяйте тему сообщения,
С Уважением, Decrypting.

В связи с чем у меня вопроc: можно ли используя платёжные реквизиты отследить жулика, и в какую службу лучше обратиться.

Прикрепленные файлы


  • 0

#5 OFF   green711

green711

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 10 Сентябрь 2012 - 09:55

Насколько я понял, Trojan-Ransom.Win32.GpCode после того как сделает свое грязное дело самоудаляется. Я сделал полную проверку компьютера установленным на нем KIS2012 (лицензионным), потом проверил в безопасном режиме CureIT'ом, ничего не нашел. Удалил из реестра все записи "how to decrypt files.txt". Сегодня создал нового пользователя на данном ПК, поместил его в группу администраторов, зашел с другого ПК через удаленный рабочий стол и через несколько секунд после входа, у меня на экране снова вылез данный файл how to decrypt files.txt. Т.е. получается данный вирус до сих пор жив? Как же его убить? Форматирование не предлагать (об этом способе я и сам знаю).
  • 0

#6 OFF   Roman_Five

Roman_Five

    Эльф-снайпер

  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 7 201

Награды

           

Отправлено 10 Сентябрь 2012 - 13:29

Т.е. получается данный вирус до сих пор жив?

чтобы это понять, внимательно прочитайте и аккуратно выполните указания в теме Порядок оформления запроса о помощи
  • 0

#7 OFF   Mark D. Pearlstone

Mark D. Pearlstone

    Assistant

  • Супер-модераторы
  • Совет фан-клуба
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 21 677

Награды

           

Отправлено 11 Сентябрь 2012 - 15:36

Сообщение от модератора Mark D. Pearlstone
Одно из сообщений перенесено в новую тему http://forum.kaspers...showtopic=37067

  • 0

#8 OFF   green711

green711

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 17 Сентябрь 2012 - 11:25

чтобы это понять, внимательно прочитайте и аккуратно выполните указания в теме Порядок оформления запроса о помощи

Исправился. Вопрос тот же:
Насколько я понял, Trojan-Ransom.Win32.GpCode после того как сделает свое грязное дело самоудаляется. Я сделал полную проверку компьютера установленным на нем KIS2012 (лицензионным), потом проверил в безопасном режиме CureIT'ом, ничего не нашел. Удалил из реестра все записи "how to decrypt files.txt". Сегодня создал нового пользователя на данном ПК, поместил его в группу администраторов, зашел с другого ПК через удаленный рабочий стол и через несколько секунд после входа, у меня на экране снова вылез данный файл how to decrypt files.txt. Т.е. получается данный вирус до сих пор жив? Как же его убить? Форматирование не предлагать (об этом способе я и сам знаю). Также проверил ветки реестра, которые отвечают за автозагрузку. Заменил файл userinit.exe и explorer.exe на заведомо исправные.
Сообщение от модератора Mark D. Pearlstone
Не выкладывайте virusinfo_cure.zip на форум. Файл удалён.

Прикрепленные файлы


  • 0

#9 OFF   Roman_Five

Roman_Five

    Эльф-снайпер

  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 7 201

Награды

           

Отправлено 17 Сентябрь 2012 - 13:23

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\Temp\ntshrui.dll.','');
 QuarantineFile('C:\WINDOWS\Offline Web Pages\cache.txt','');
 QuarantineFile('C:\Documents and Settings\User2\Главное меню\Программы\Автозагрузка\HOW TO DECRYPT FILES.txt','');
 QuarantineFile('C:\Documents and Settings\User2\Application Data\Microsoft\Internet Explorer\Quick Launch\HOW TO DECRYPT FILES.txt','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\teefer2.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\SSPORT.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\PROCEXP151.SYS','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\DgiVecp.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
 DeleteFile('C:\Documents and Settings\User2\Application Data\Microsoft\Internet Explorer\Quick Launch\HOW TO DECRYPT FILES.txt');
 DeleteFile('C:\Documents and Settings\User2\Главное меню\Программы\Автозагрузка\HOW TO DECRYPT FILES.txt');
 DeleteFile('C:\WINDOWS\Offline Web Pages\cache.txt');
 DeleteFile('C:\WINDOWS\Temp\ntshrui.dll.');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\6to4\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Ias\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:
begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.
Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):
R3 - Default URLSearchHook is missing
O4 - S-1-5-21-1715567821-790525478-682003330-1005 Startup: HOW TO DECRYPT FILES.txt (User 'User2')
O4 - S-1-5-21-1715567821-790525478-682003330-1005 User Startup: HOW TO DECRYPT FILES.txt (User 'User2')

Сделайте новые логи по правилам.
+
Скачайте Malwarebytes' Anti-Malware здесь или здесь.
Установите mbam-setup-<current number>.exe
Обновите базы.
После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить").
Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".
Полученный лог прикрепите к сообщению.
  • 0

#10 OFF   green711

green711

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 18 Сентябрь 2012 - 13:36

Malwarebytes' Anti-Malware нашла четыре трояна, их удалил.
Файл Quarantine.zip отправил через личный кабинет. Как только получу ответ, отпишусь.
Дешифратор, который выложил w123 Decript2Pack.zip файлы расшифровал, но, все с ошибкой, т.е. открываешь, а там "каша".

Прикрепленные файлы


  • 0

#11 OFF   Roman_Five

Roman_Five

    Эльф-снайпер

  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 7 201

Награды

           

Отправлено 19 Сентябрь 2012 - 09:28

Дешифратор, который выложил w123 Decript2Pack.zip файлы расшифровал, но, все с ошибкой

дешифратор уникальный для каждого случая... :)

Удалите в MBAM только следующие объекты:
Обнаруженные ключи в реестре:  1
HKLM\SOFTWARE\JetSwap (Adware.JetSwap) -> Действие не было предпринято.

Обнаруженные файлы:  3
C:\Documents and Settings\User1\Local Settings\Temporary Internet Files\Content.IE5\45QRWT2Z\winlogon[1].exe (Trojan.FakeMS) -> Действие не было предпринято.
После удаления прикрепите новый полученный лог MBAM.

Файлы
C:\Documents and Settings\User1\Windows\system\Safesurf\safesurf.exe
C:\WINDOWS\Config\all\Safesurf\safesurf.exe
проверьте на virustotal.com
2 ссылки на результаты проверки приложите.

Проверьте компьютер утилитой из данной статьи
http://support.kaspe.../?qid=208639606
перед началом сканирования выберите "изменить параметры проверки" и отметьте 2 дополнительные опции.
полученный лог с корня диска С приложите.
  • 0

#12 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 796

Награды

           

Отправлено 19 Сентябрь 2012 - 14:20

+ http://download.geo....e157decrypt.exe пробуйте
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#13 OFF   green711

green711

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 20 Сентябрь 2012 - 08:55

thyrex Выражаю Вам свою глубочайшую признательность за ссылку, и конечно же разработчикам из DrWeb. Данный дешифратор помог, все расшифровал (приятно удивила скорость расшифровки, на несколько тысяч зашифрованных файлов ушло не более получаса). Запускал его так:

te157decrypt.exe -p Odgh447DRMAQUaP8i2t6R0paHu02X73

Где Odgh447DRMAQUaP8i2t6R0paHu02X73 - ключ из файла HOW TO DECRYPT FILES.txt

Roman_Five
Вам большое спасибо за то, что продолжаете заниматься моей проблемой.

1) Обнаруженные угрозы MBAM я удалил еще в первый раз. Заново просканировал.

2) Файлы похоже были удалены, поэтому отправить в virustotal.com не могу
C:\Documents and Settings\User1\Windows\system\Safesurf\safesurf.exe
C:\WINDOWS\Config\all\Safesurf\safesurf.exe
3) Утилитой TDSSKiller проверку сделал (с отмеченными двумя дополнительными опциями).

Прикрепленные файлы


  • 0

#14 OFF   Roman_Five

Roman_Five

    Эльф-снайпер

  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 7 201

Награды

           

Отправлено 20 Сентябрь 2012 - 09:17

продолжаете заниматься моей проблемой

у Вас были следы старого заражения...

сейчас всё чисто.
деинсталлируйте MBAM.
  • 0

#15 OFF   Mark D. Pearlstone

Mark D. Pearlstone

    Assistant

  • Супер-модераторы
  • Совет фан-клуба
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 21 677

Награды

           

Отправлено 22 Сентябрь 2012 - 08:38

Сообщение от модератора Mark D. Pearlstone
Одно из сообщений перенесено в новую тему http://forum.kaspers...showtopic=37219

  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных