Перейти к содержанию

запрос на расшифровку. вирус win32.filecryptor.em

hockins
 Поделиться

Рекомендуемые сообщения

hockins Новичок

hockins

Опубликовано
Опубликовано

Доброго времени суток. 

По порядку:

1. Вчера (15.12.2015) на корпоративный ящик было получено 2 письма на английском языке. Суть письма приблизительно такова: "Ваша фирма не оплатила штраф и будет подвергнута санкциям. Чтобы их избежать оплатите штраф согласно счету во вложении". К письму прикреплен архив zip (сегодня - 16.12.2015 - уже даже не архивировали, а прислали во вложении doc-файл и конечно же с другого адреса). "Визитная карточка" данного вируса - все вложения имеют в своем названии слово invoice. В случае с первым письмом это было invoice_486743_scan.zip. И все бы ничего, НО...

2. Девочка-секретарь недолго думая открыла вложение, ничего вроде бы не случилось и не открылось и она недоуменно пожав плечиками, гордо написала ответ, что мол, "вы наверное адресом ошиблись, позвоните позавчера". На то, что внИзапно поменялись ярлычки Word'овых документов, а в ее ответ не достиг адресата, внимание обратить было ниже ее достоинства. А поэтому примерно час вся эта пакость активно заливалась в сеть фирмы, а заодно девочка радостно согласилась с предложением вируса удалить резервные точки восстановления ее системы.

3. Теперь по технической сути. Вирус зашифровал все типы документов Office, все типы изображений, файлы pdf и фалы odbc. Расширение файлов не поменялось, но в свойствах теперь указан "Тип файла - VVV".Сами файлы пытаются открываться родными программами, но понятное дело сами программы начинают ругаться на повреждения(Word например предложил поменять кодировку). Кроме того вирус отключил "Теневое копирование разделов" и успешно удалил все точки восстановления системы. В каждой зараженной папке вирус расположил 2 пары файлов с названиями how_recover+bkd, how_recover+utu c расширениями html  и txt. В автозапуск системы было прописано запуск при старте тхт файлов, а при запуске браузера хтмл файлов. В текст я вчитываться уже не стал и так все ясно. При необходимости могу запаковать и прислать образцы (оставил парочку для "зоопарка"). Больше изменений в системе не заметил. После всех подвигов вирус героически самоубился (в смысле исходник). Вторичное поведение - распространение хтмл и тхт файлов во всех папках, где пытаются запустить зараженный файл с шифровкой всего что можно в этих папках (по рукам стучал - не помогает).

4. Чем пытался лечить. Антивирус Касперского 6 (то что досталось от предшественника) - ноль срабатываний, AVZ - ноль, Др.Веб CureIT - ноль, KVRT - ноль. После закидывания исходного архива (вытащил из почты) на VirusTotal получил лог анализа - 14 срабатываний из 55. Из 14 предложенных антивирусов выбрал более знакомый ESET. Отключил диск и переставил на комп с самым свежим ESET - более 32 тысяч копий вируса win32.filecryptor.em/trojan. Диск очищен от файлов how_recover, но, понятное дело, что файлы обратно не расшифровались. В тхт файле вируса вычитал, что шифрование производилось по алгоритму RSA-4096. Сумма "выкупа" не прописана, а по предложенным ссылкам я ходить как-то не готов.

5. Прикладываю логи AVZ по Вашим правилам. При необходимости могу запаковать образцы хтмл, тхт файлов и сам исходный архив с вирусом (судя по расширению на JavaScript). Очень надеюсь на помощь, потому как много важного осталось в "разбитом корыте", а переустановка системы не выход, на компе "крутится" БД фирмы и остановить ее больше чем на 3-4 часа нет возможности. Заранее спасибо.

 

Пы.Сы. Сразу извините за стиль письма - после суток "пляски с бубном" уже состояние легкой истерики :)

CollectionLog-2015.12.16-14.42.zip

Ссылка на комментарий
Поделиться на другие сайты
hockins Новичок

hockins

Опубликовано
  • Автор
Опубликовано (изменено)

Тушка шифровальщика сохранилась?

да, законсервировал на всякий случай

напишите куда бросить, скину утром, сейчас 250 и в люлю, спать))

Изменено пользователем hockins
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выложите в архиве с паролем virus на Яндекс-диск с примерами шифрованных файлов и ссылку отправьте мне в личные сообщения

Ссылка на комментарий
Поделиться на другие сайты
hockins Новичок

hockins

Опубликовано
  • Автор
Опубликовано

Выложите в архиве с паролем virus на Яндекс-диск с примерами шифрованных файлов и ссылку отправьте мне в личные сообщения

отправил

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • M_X
      Запрос на помощь в расшифровке файлов
      Автор M_X
      Здравствуйте. Зашифровали файлы... 
      Скорее всего проникли через RDP...
      Сам шифровальщик не обнаружал....
      Установленный антивирус - не отработал и был также зашифрован (symantec) .. После установил MalWarebytes.
      FRST.txt Addition.txt Desktop.rar
    • slavel94
      Расшифровка kwx8
      Автор slavel94
      Здравствуйте! Словил шифроватор Mimik, в итоге файлы зашифровались с расширением kwx8. Помогите, пожалуйста
      report_2025.03.23_17.06.42.klr.rar
    • Джо
      Помощь в расшифровке graff_de_malfet@protonmail.ch
      Автор Джо
      Добрый день, наткнулся на новость Доступна расшифровка файлов после CryLock 2.0.0.0, 1.9.2.1 и 1.8.0.0 | VirusNet
      Может быть действительно появился шанс восстановить свои файлы после того как был атакован через RDP, зашифровались где-то в 2020г

      Система была перестановлена, неоднократно и железо тоже заменено(но доступ к нему еще есть если это важно)

      Если действительно расшифорвка поможет, буду очень благодарен. Думаю не я один такой "счастливчик" и вы спасете ценную информацию многих людей.
      Шифровальщик судя по всему CryLock 1.9 выкупт от почты graff_de_malfet@protonmail.ch (decrypt files? write to this mail: graff_de_malfet@protonmail.ch)
       
      crypted.7z
       
      как вариант у меня есть оригинальный файл и зашифрованный, если это может хоть както  помочь..
    • Равиль.М
      Помощь в расшифровке файлов
      Автор Равиль.М
      Добрый день. Поймали вирус-шифровальщик, поразил весь файловый серв. Все началось после того как подключились через Anydesk. На двух пользовательских компьютерах замещены вирусы после проверки KES. Лог файл приложил
      FRST.rar KVRT2020_Data.rar Обнаружено KES.rar Файлы шифрованные.rar
    • Daniil Kovalev
      Помощь в расшифровке biobiorans
      Автор Daniil Kovalev
      Добрый день словили шифровальщик biobiorans
      Можете помочь расшифровкой файлов?
      Тело шифровальщика найти не удалось
      Вкладываю примеры с зашифрованными файликами - это логи MS SQL сервера  *.ldf

      Текст вымогателя:
      BioBio Ransmoware ATTENTION! At the moment, your system is not protected. We can fix itand restore files. To get started, send a file to decrypt trial. You can trust us after opening the test file. 2.Do not use free programs to unlock. To restore the system write to both : biobiorans@gmail.com        and      biobiorans@keemail.me Telegram id:@biobiorans Your Decryption ID: ******
      FRST.txt
      Crypted2.7z Crypted1.7z
×
×
  • Создать...