Перейти к содержанию

Вирус-шифровальщик.xtbl, decodefile001@gmail.com или decodefile002@gmail.com

kiddr
 Share

Рекомендуемые сообщения

kiddr Новичок

kiddr

Опубликовано
Опубликовано
Добрый день! Получил по почте письмо от "Бухгалтерии" с прикрепленным архивом (акт передачи и какой то длинный номер), после скачки и извлечения запустил файл. В следствии чего в течении 15 минут на компьютере были зашифрованы все картинки и текстовые файлы-Word в формат .xtbl, а на рабочем столе появилась заставка с координатами вымогателя и сообщение о том что файлы, описанные выше, зашифрованы, плюс текстовый файл формата .txt со следующим текстом:
 
"Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
1E05A087200D94333D18|0
на электронный адрес decodefile001@gmail.com или decodefile002@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
1E05A087200D94333D18|0
to e-mail address decodefile001@gmail.com or decodefile002@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
 
Еще последствия: в реестре появились ветки с белебердовым именем, которых до этого не существовало. Файл boot.ini отсутствовал, но вместо него был boot.ini.backup, в котором добавлена еще одна строчка связанная с диском "С", но при этом загрузка Windows происходит в обычном режиме за исключением того что при загрузке Доса показана та самая "допонительная" строчка из boot.ini.backup. Возможность загрузки и восстановления, выбора операционки затенена, плюс выдает ошибку о том что не может найти файл boot.ini, зато может создать новый. 
 
Прикрепляю файлы логов, отчет антивируса и ветку реестра.

 

Так же у меня имеется сам вирус-шифровальщик, при необходимости могу прикрепить "эту программу"

CollectionLog-2015.09.25-10.15.zip

cureit.rar

Подозрительная вещь.Ветка того самого Вируса (Самурай-имя фотографий кота).rar

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Выполните скрипт в AVZ




begin

 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');

ExecuteSysClean;

RebootWindows(false);

end.

Будет выполнена перезагрузка компьютера.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты
kiddr Новичок

kiddr

Опубликовано
  • Автор
Опубликовано

 

Выполните скрипт в AVZ
begin
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
ExecuteSysClean;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
 
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

 

Выполнил все как в инструкции. Жду следующего совета заранее благодарен.

CollectionLog-2015.09.28-08.50.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
Task: {0AAA3715-1B5B-4093-B681-53354AA66300} - \Daily Trigger ScheduleCD -> No File <==== ATTENTION
Task: {190614C9-AB8B-417E-BF1A-D26B797DE5AF} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {1D270B8B-F8BC-4995-A135-EBD8A1D85C42} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {5A400E27-72E8-4AED-9864-01217CC1B4AD} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {5E8C7CAA-D318-48D9-882D-9D1E43750610} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {95F97DA7-A9D3-4741-87CE-BA7BE6F013D9} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {A1E77187-6D4C-49E8-AF72-EA75352F4C17} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {ABF5B323-9916-44EC-969D-92A103CAA076} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {F66979D4-9D5C-4FFC-ACEC-2ADA56B89E47} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
2015-09-25 08:10 - 2015-09-25 08:10 - 00000000 ____D C:\Device
2015-09-17 15:02 - 2015-09-17 15:02 - 03932214 _____ C:\Documents and Settings\1\Application Data\EEDCD8F2EEDCD8F2.bmp
2015-09-17 13:09 - 2015-09-17 13:09 - 00000907 _____ C:\README9.txt
2015-09-17 13:09 - 2015-09-17 13:09 - 00000907 _____ C:\README8.txt
2015-09-17 13:09 - 2015-09-17 13:09 - 00000907 _____ C:\README7.txt
2015-09-17 13:09 - 2015-09-17 13:09 - 00000907 _____ C:\README6.txt
2015-09-17 13:09 - 2015-09-17 13:09 - 00000907 _____ C:\README5.txt
2015-09-17 13:09 - 2015-09-17 13:09 - 00000907 _____ C:\README4.txt
2015-09-17 13:09 - 2015-09-17 13:09 - 00000907 _____ C:\README3.txt
2015-09-17 13:09 - 2015-09-17 13:09 - 00000907 _____ C:\README2.txt
2015-09-17 13:09 - 2015-09-17 13:09 - 00000907 _____ C:\README10.txt
Reboot:

2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты
kiddr Новичок

kiddr

Опубликовано
  • Автор
Опубликовано

Если не сложно, поясните в чем причина? Подскажите как устроен этот шифратор и какую информацию Вы искали в логах? буду очень признателен с ответом. Жизненно необходимая информация. Заранее благодарен. 

Ссылка на комментарий
Поделиться на другие сайты
kiddr Новичок

kiddr

Опубликовано
  • Автор
Опубликовано (изменено)

Спасибо, и все же про сам метод шифрование не очень ясно, чем он так страшен? Если откинуть все сложные слова и посмотреть на логику шифра и кто его может использовать?

Изменено пользователем kiddr
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

https://ru.wikipedia.org/wiki/RSA

 

Стойкость этого алгоритма заключается в том, что нужно разложить на простые множители достаточно большие числа. 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • evgeny_f
      Шифровальщик Mail-[mammoncomltd@gmail.com]ID-[L5Y80R37X4].lock и lock.v2
      От evgeny_f
      Addition.txtVirus.rarREAD.txtFRST.txt
       
      Здравствуйте. 8 сентября были зашифрованы файлы на сервере с 1с. Копии баз на этой же машине на другом диске. Тоже зашифрованы. Помогите пожалуйста!
    • civiero
      Вирус или нет?
      От civiero
      При просмотре видео на ютуб останавливается видео и появляется звуки костей, или слово amazing. Нужно ли волноваться по этому поводу? Антивирус ничего не выдает.
    • Gagik
      Поймал вирус
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
    • lomosow
      NET:MALWARE.URL Вирус
      От lomosow
      Поймал вирусняк, открывает edge при заходе в систему, Dr.web его обнаруживает, но удалить его не может, пишет "ошибка лечения". называется NET:MALWARE.URL. UPD. веб перестал его обнаруживать, но проблема никуда не делась 
    • Mr. Denp
      Вирусы: HEUR:Trojan.Multi.GenBadur.genw и HEUR:Trojan.Script.Generic
      От Mr. Denp
      Добрый день!
       
      Уже как несколько месяцев сижу с пойманными вирусами. Первый появился: HEUR:Trojan.Multi.GenBadur.genw - Касперский пытается устранить, но безуспешно.
      Процесс лечения заканчивается следующей ошибкой:

       
      Происходит перезагрузка компьютера, затем очередная автоматическая проверка компьютера Касперским, и троян снова появляется с предложением удаления.
      И так по кругу. 
      Вирус находится в системной памяти.
       
      Второй - HEUR:Trojan.Script.Generic появился сравнительно недавно, после удаления Касперским, он также появляется заново.
       
      Большая просьба помочь решить проблему. Насколько это опасно? Можно ли что-то сделать?
      Склонялся к варианту переустановки винды, но потеря файлов и головная боль с повторной установкой всего напрягает.
       
      Винда официальная. Единственная причины возникновения, которая приходит на ум - это торрент.
       
      Заранее благодарен!
       
×
×
  • Создать...