Перейти к содержанию

Trojan.Encoder.11539 шифровальщик. Расширение .726

DenSt
 Share

Рекомендуемые сообщения

DenSt Новичок

DenSt

Опубликовано
Опубликовано

Пришло письмо по почте с вложением. Зашифровало файлы. Расширение в итоге .726. Прикрепляю логи. В наличии имеется экземпляр зашифрованного файла и его незашифрованная версия. Так же, есть письмо с тем самым вредоносным вложением.

CollectionLog-2017.08.08-13.55.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

2) Небольшой зашифрованный файл и требование вымогателей прикрепите, но с расшифровкой скорей всего не сможем помочь.
 
3)

Bing Bar [20150528]-->MsiExec.exe /X{3611CA6C-5FCA-4900-A329-6A118123CCFC}

Если не используете совету деинсталировать.

 

4) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
DenSt Новичок

DenSt

Опубликовано
  • Автор
Опубликовано

  1.  http://virusinfo.info/virusdetector/report.php?md5=E9E0E68B5B7E43D727B70DA42A300923

  2.  Зашифрованный файл и требования прикрепил в архиве "Образцы"

 Приму к сведению.

 Прикрепил. Архив "Farbar".

Образцы.rar

Farbar.rar

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Как и предполагал это GlobeImposter 2.0, расшифровки, увы, нет.

C:\Users\Public\ukIwFJQ2.exe

Это что за файл? Он знаком вам? Большего плохого ничего не заметил.

Ссылка на комментарий
Поделиться на другие сайты
DenSt Новичок

DenSt

Опубликовано
  • Автор
Опубликовано

Как и предполагал это GlobeImposter 2.0, расшифровки, увы, нет.

C:\Users\Public\ukIwFJQ2.exe

Это что за файл? Он знаком вам? Большего плохого ничего не заметил.

Это то, что утилита cure it определила как энкодер. В количестве трех штук была найдена и удалена.

Жаль конечно, но я в принципе так и думал, что дешифратора нет.

Примечательно, что установленный лицензионный Symantec endpoint protection со всеми обновлениями даже и глазом не моргнул. Часть файлов спасло то, что вовремя выключили ПК.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Peter R
      Шифровальщик. DOCM
      От Peter R
      Добрый день,
      подвергся атаке Trojan.Encoder.11539, но это не точно.
      Краткая хронология:
      - зависание ПК и активная работа хдд насторожила не сразу;
      - перезагрузка и проверка Kaspersky Total Security(тестовая версия);
           - HEUR:Trojan.Win32.Agent.gen 
           - UDS:Backdoor.MSIL.Androm.gen 
           - HackTool.Win32.KMSAuto.i 
      - проверка CureIT:
           - угроза HOST, к сожалению кликнул не посмотрев на вылечить и т.п.;
           - повторная проверка была уже чистой;
      - от 30-50% файлов зашифровано;
       
      Скрипт выдал ошибку при работе.
      Error #5 - Invalid proocedure call or argement
      Касперский был выключен и закрыт при проверке.
       
      Если это действительно 11539, то дешифровка невозможна как я понял?
      И главным становится вопрос - почему это произошло, как произошло заражение? Если логи помогут вам, я буду очень благодарен за ответ.
      Спасибо.
×
×
  • Создать...