Перейти к содержанию

запрос на расшифровку. вирус win32.filecryptor.em


Рекомендуемые сообщения

Доброго времени суток. 

По порядку:

1. Вчера (15.12.2015) на корпоративный ящик было получено 2 письма на английском языке. Суть письма приблизительно такова: "Ваша фирма не оплатила штраф и будет подвергнута санкциям. Чтобы их избежать оплатите штраф согласно счету во вложении". К письму прикреплен архив zip (сегодня - 16.12.2015 - уже даже не архивировали, а прислали во вложении doc-файл и конечно же с другого адреса). "Визитная карточка" данного вируса - все вложения имеют в своем названии слово invoice. В случае с первым письмом это было invoice_486743_scan.zip. И все бы ничего, НО...

2. Девочка-секретарь недолго думая открыла вложение, ничего вроде бы не случилось и не открылось и она недоуменно пожав плечиками, гордо написала ответ, что мол, "вы наверное адресом ошиблись, позвоните позавчера". На то, что внИзапно поменялись ярлычки Word'овых документов, а в ее ответ не достиг адресата, внимание обратить было ниже ее достоинства. А поэтому примерно час вся эта пакость активно заливалась в сеть фирмы, а заодно девочка радостно согласилась с предложением вируса удалить резервные точки восстановления ее системы.

3. Теперь по технической сути. Вирус зашифровал все типы документов Office, все типы изображений, файлы pdf и фалы odbc. Расширение файлов не поменялось, но в свойствах теперь указан "Тип файла - VVV".Сами файлы пытаются открываться родными программами, но понятное дело сами программы начинают ругаться на повреждения(Word например предложил поменять кодировку). Кроме того вирус отключил "Теневое копирование разделов" и успешно удалил все точки восстановления системы. В каждой зараженной папке вирус расположил 2 пары файлов с названиями how_recover+bkd, how_recover+utu c расширениями html  и txt. В автозапуск системы было прописано запуск при старте тхт файлов, а при запуске браузера хтмл файлов. В текст я вчитываться уже не стал и так все ясно. При необходимости могу запаковать и прислать образцы (оставил парочку для "зоопарка"). Больше изменений в системе не заметил. После всех подвигов вирус героически самоубился (в смысле исходник). Вторичное поведение - распространение хтмл и тхт файлов во всех папках, где пытаются запустить зараженный файл с шифровкой всего что можно в этих папках (по рукам стучал - не помогает).

4. Чем пытался лечить. Антивирус Касперского 6 (то что досталось от предшественника) - ноль срабатываний, AVZ - ноль, Др.Веб CureIT - ноль, KVRT - ноль. После закидывания исходного архива (вытащил из почты) на VirusTotal получил лог анализа - 14 срабатываний из 55. Из 14 предложенных антивирусов выбрал более знакомый ESET. Отключил диск и переставил на комп с самым свежим ESET - более 32 тысяч копий вируса win32.filecryptor.em/trojan. Диск очищен от файлов how_recover, но, понятное дело, что файлы обратно не расшифровались. В тхт файле вируса вычитал, что шифрование производилось по алгоритму RSA-4096. Сумма "выкупа" не прописана, а по предложенным ссылкам я ходить как-то не готов.

5. Прикладываю логи AVZ по Вашим правилам. При необходимости могу запаковать образцы хтмл, тхт файлов и сам исходный архив с вирусом (судя по расширению на JavaScript). Очень надеюсь на помощь, потому как много важного осталось в "разбитом корыте", а переустановка системы не выход, на компе "крутится" БД фирмы и остановить ее больше чем на 3-4 часа нет возможности. Заранее спасибо.

 

Пы.Сы. Сразу извините за стиль письма - после суток "пляски с бубном" уже состояние легкой истерики :)

CollectionLog-2015.12.16-14.42.zip

Ссылка на комментарий
Поделиться на другие сайты

Тушка шифровальщика сохранилась?

да, законсервировал на всякий случай

напишите куда бросить, скину утром, сейчас 250 и в люлю, спать))

Изменено пользователем hockins
Ссылка на комментарий
Поделиться на другие сайты

Выложите в архиве с паролем virus на Яндекс-диск с примерами шифрованных файлов и ссылку отправьте мне в личные сообщения

Ссылка на комментарий
Поделиться на другие сайты

Выложите в архиве с паролем virus на Яндекс-диск с примерами шифрованных файлов и ссылку отправьте мне в личные сообщения

отправил

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Profssn
      От Profssn
      Нужна помощь расшифровать. Поймали на другом ПК с другой windows. Windows удален. Файлы переименованы на расшерение decrypting@cock.li
      Новая сжатая ZIP-папка.zip Addition.txt FRST.txt
    • Marauders666
      От Marauders666
      Приветствую всех! Прошу о помощи, залетел шифровальщик. Путем поиска нашел что возможно расшифровать с помощью RannohDecryptor, но он мне пишет:Can't initialize on pair
      Файлы которые нашел прикладываю. (Я так понимаю софт через который это все сделали и оригинал файла xx .txt я подумал может быть это ключ..
       
    • sputnikk
      От sputnikk
      Отец когда-то регистрировался там для игры в шарики, но этого давно нету, поэтому перестал пользоваться.
      Вдруг стали приходить уведомления с запросом на дружбу. Сейчас посмотреть невозможно кто оставляет запросы на дружбу - нет пароля и доступ возможен только через антиблокировку.
       
      Запросы могут оставлять боты или сделал 1 человек много раз? Письма пересылаются мне из ящика отца.

       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Технологии и техника"
    • Salieri
      От Salieri
      Наткнулся на вирус, с файлов игры ( пиратки ) , нужнаCollectionLog-2024.12.16-15.54.zipFRST.txtAddition.txt помощь, система тормозит, производительность упала. Логи ниже
    • 2life
      От 2life
      Здравствуйте, Kaspersky Virus Removal Tool находит в памяти HEUR:Trojan.Multi.Powedon.d, процедура лечения с перезагрузкой не помогает.
       
      Заранее спасибо
       
      Прикладываю репорт Kaspersky Virus Removal Tool
      2024.12.08_22.46.43.zip
×
×
  • Создать...