Перейти к содержанию

запрос на расшифровку. вирус win32.filecryptor.em

hockins
 Поделиться

Рекомендуемые сообщения

hockins

hockins

Опубликовано
Опубликовано

Доброго времени суток. 

По порядку:

1. Вчера (15.12.2015) на корпоративный ящик было получено 2 письма на английском языке. Суть письма приблизительно такова: "Ваша фирма не оплатила штраф и будет подвергнута санкциям. Чтобы их избежать оплатите штраф согласно счету во вложении". К письму прикреплен архив zip (сегодня - 16.12.2015 - уже даже не архивировали, а прислали во вложении doc-файл и конечно же с другого адреса). "Визитная карточка" данного вируса - все вложения имеют в своем названии слово invoice. В случае с первым письмом это было invoice_486743_scan.zip. И все бы ничего, НО...

2. Девочка-секретарь недолго думая открыла вложение, ничего вроде бы не случилось и не открылось и она недоуменно пожав плечиками, гордо написала ответ, что мол, "вы наверное адресом ошиблись, позвоните позавчера". На то, что внИзапно поменялись ярлычки Word'овых документов, а в ее ответ не достиг адресата, внимание обратить было ниже ее достоинства. А поэтому примерно час вся эта пакость активно заливалась в сеть фирмы, а заодно девочка радостно согласилась с предложением вируса удалить резервные точки восстановления ее системы.

3. Теперь по технической сути. Вирус зашифровал все типы документов Office, все типы изображений, файлы pdf и фалы odbc. Расширение файлов не поменялось, но в свойствах теперь указан "Тип файла - VVV".Сами файлы пытаются открываться родными программами, но понятное дело сами программы начинают ругаться на повреждения(Word например предложил поменять кодировку). Кроме того вирус отключил "Теневое копирование разделов" и успешно удалил все точки восстановления системы. В каждой зараженной папке вирус расположил 2 пары файлов с названиями how_recover+bkd, how_recover+utu c расширениями html  и txt. В автозапуск системы было прописано запуск при старте тхт файлов, а при запуске браузера хтмл файлов. В текст я вчитываться уже не стал и так все ясно. При необходимости могу запаковать и прислать образцы (оставил парочку для "зоопарка"). Больше изменений в системе не заметил. После всех подвигов вирус героически самоубился (в смысле исходник). Вторичное поведение - распространение хтмл и тхт файлов во всех папках, где пытаются запустить зараженный файл с шифровкой всего что можно в этих папках (по рукам стучал - не помогает).

4. Чем пытался лечить. Антивирус Касперского 6 (то что досталось от предшественника) - ноль срабатываний, AVZ - ноль, Др.Веб CureIT - ноль, KVRT - ноль. После закидывания исходного архива (вытащил из почты) на VirusTotal получил лог анализа - 14 срабатываний из 55. Из 14 предложенных антивирусов выбрал более знакомый ESET. Отключил диск и переставил на комп с самым свежим ESET - более 32 тысяч копий вируса win32.filecryptor.em/trojan. Диск очищен от файлов how_recover, но, понятное дело, что файлы обратно не расшифровались. В тхт файле вируса вычитал, что шифрование производилось по алгоритму RSA-4096. Сумма "выкупа" не прописана, а по предложенным ссылкам я ходить как-то не готов.

5. Прикладываю логи AVZ по Вашим правилам. При необходимости могу запаковать образцы хтмл, тхт файлов и сам исходный архив с вирусом (судя по расширению на JavaScript). Очень надеюсь на помощь, потому как много важного осталось в "разбитом корыте", а переустановка системы не выход, на компе "крутится" БД фирмы и остановить ее больше чем на 3-4 часа нет возможности. Заранее спасибо.

 

Пы.Сы. Сразу извините за стиль письма - после суток "пляски с бубном" уже состояние легкой истерики :)

CollectionLog-2015.12.16-14.42.zip

Ссылка на комментарий
Поделиться на другие сайты
hockins

hockins

Опубликовано
  • Автор
Опубликовано (изменено)

Тушка шифровальщика сохранилась?

да, законсервировал на всякий случай

напишите куда бросить, скину утром, сейчас 250 и в люлю, спать))

Изменено пользователем hockins
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Выложите в архиве с паролем virus на Яндекс-диск с примерами шифрованных файлов и ссылку отправьте мне в личные сообщения

Ссылка на комментарий
Поделиться на другие сайты
hockins

hockins

Опубликовано
  • Автор
Опубликовано

Выложите в архиве с паролем virus на Яндекс-диск с примерами шифрованных файлов и ссылку отправьте мне в личные сообщения

отправил

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Belvol
      [РЕШЕНО] Не удаляется вирус Win32/Trojan.Generic.HgLATxcA
      Автор Belvol
      Здравствуйте. Поймал троян-майнер. Чищу антивирусом и после перезагрузки появляется снова. Помогите разобраться, пожалуйста
      CollectionLog-2025.07.01-00.20.zip
    • Tappa
      Петя расшифровка
      Автор Tappa
      Помогите расшифровать ключ 

    • M_X
      Запрос на помощь в расшифровке файлов
      Автор M_X
      Здравствуйте. Зашифровали файлы... 
      Скорее всего проникли через RDP...
      Сам шифровальщик не обнаружал....
      Установленный антивирус - не отработал и был также зашифрован (symantec) .. После установил MalWarebytes.
      FRST.txt Addition.txt Desktop.rar
    • Владислав Эпштейн
      Помощь в расшифровке файлов
      Автор Владислав Эпштейн
      Доброго дня, обнаружен троян шифровальщик, расширения файлов - xxpfz2h
      Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 
      Имеются только названия угроз: Trojan-Ransom.Win32.Mimic.av     -    HEUR:Backdoor.MSIL.Crysan.gen
      Просканировать систему не представляется возможным через программу которая приложена в правилах.
      Сканирование через KVRT осуществлял из под безопасного режима без сетевых драйверов и заражённый диск подключался через отдельный HDD хаб.
      Образцы зашифрованных файлов имеются, как и текстовый документ вымогателей
      Посоветуйте пожалуйста о дальнейших действиях
    • Kdademon
      Помогите в расшифровке файлов после вируса шифровальщика Trojan-Ransom.Win32.Mimic.gen
      Автор Kdademon
      02.072025 обнаружили что на 2 компа (Windows 7) попал вирус шифровальщик 
      подключились предположительно по RDP
      зашифровали все базы 1с, бэкапы, архивы, документы
      файл с обращением от вымогателей нашли
      Kaspersky Virus Removal Tool нашел вируc HEUR:Trojan-Ransom.Win32.Mimic.gen

      Подскажите порядок действий по лечению этих компов и возможна ли дешифровка?
      Как можно обезопасится от подобного?
      Поможет ли установка Kaspersky на все компьютеры сети?

      Во вложении архив с примерами зашифрованных файлов из папки php
      Файлы постарался выбрать стандартные, общеизвестные может поможет в дешифровке
      Также приложил скрин с проверкой от Kaspersky Virus Removal Tool

      php.rar
×
×
  • Создать...