Перейти к содержанию

Trojan.Encoder.24613/HEUR:Trojan-Ransom.MSIL.Generic

RavagerPT
 Поделиться

Рекомендуемые сообщения

RavagerPT

RavagerPT

Опубликовано
Опубликовано (изменено)

Добрый день.

 

На электронную почту пришло письмо с актом сверки (в приложении).

На рабочем столе файл ЧТO CДEЛAТЬ ДЛЯ ВOЗBРATA ФAЙЛOB.txt

 

В имена файлов xls,xlsm,doc,docx,pdf,jpg (avi, mpeg и системные windows не трогаются) добавляется alta46sql22hy, иногда несколько раз (примеры во вложении).

 

Сам вирус kaspersky определяет как HEUR:Trojan-Ransom.MSIL.Generic, drweb Trojan.Encoder.24613, зараженные файлы также в приложении.

 

При попытке восстановить файл excel через восстановление поврежденных файлов он-лайн (https://online.officerecovery.com/ru/excel/) - файл восстановлен даже с разметкой (с учетом ограничений demo версии).

 

При сравнении зараженного/незараженного одного и того же файла (также в приложении) видно, что отличается только начальная часть файла, дальше ничего не тронуто.

 

Строгое предупреждение от модератора thyrex
Не прикрепляйте вредоносных файлов

Зашифрованный и незашифрованный один и тот же файл.zip

Несколько зашифрованных файлов.rar

ЧТO CДEЛAТЬ ДЛЯ ВOЗBРATA ФAЙЛOB.txt

CollectionLog-2018.02.20-14.04.zip

Изменено пользователем thyrex
thyrex

thyrex

Опубликовано
Опубликовано

Найденное Cureit выложите на dropmefiles.com и пришлите ссылку мне в личные сообщения.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alesss
      Появился новый шифровщик
      Автор alesss
      В интернете 28.04.2017 г наткнулся на новый шифровщик ( шифрует файлы текстовый документ , архивы, фото и т.д. , при этом меняет тип файла на .dat
      Источник заражения ссылка   ссылка удалена
      появился txt документ в нем написано help50@yandex.ru
       

      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные ссылки и файлы на форуме.
    • dzamalbelaev
      Вымогател расширение *.axx
      Автор dzamalbelaev
      Этот криптовымогатель шифрует файлы с помощью AES-шифрования, используя возможности легитимной утилиты AxCrypt, и затем требует выкуп в размере $2500 или равнозначно в биткоинах, чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение .axx. Завершив шифрование вымогатель удаляет теневые копии файлов. 

        Вымогательская записка довольно длинная, текст путаный, несвязный, а некоторые слова, использованные в тексте записки, указывают на турецкоязычного автора. Из полного текста записки явствует, что криптовымогатель ориентирован на таргетированную атаку серверов организаций. 

      Часть текста из записки о выкупе:
      I encrypt some data that I believe are important to your system.
      Only your server to encrypt your data so you can bring me back again,
      * .axx Extension with its own place in your home directory or disk "reserves" named
      After you hide the folder, it will not be brought back to delete data by writing over the original.
      If your data again working my way wish to install on your server Eders new me
      Please contact via e-mail. Create your ip necessarily the subject of the e-mail you write.
      I demand from you to your system cost $ 2,500. If we agree on,
      I will send the necessary information in order to transfer you the money gönfer.
      control the delivery of a currency that you sent me (at the latest half an hour) then your system 
      I made it to connect older.
      ...

      Я обнаружил взаимосвязь AxCrypter с Magic Ransomware из их записки о выкупе
      Источник:http://id-ransomware.blogspot.com/2016/05/axcrypter-ransomware-axcrypt-2500.html
    • Radik56
      Зашифровали сервер
      Автор Radik56
      Добрый вечер.
      у меня тоже самое сервак зашифровали.
      прикрепил логи
      CollectionLog-2017.04.27-12.31.zip
      report1.log
      report2.log
    • Shiriisu
      поймал вирус-шифратор. фаилы с раширением crypt
      Автор Shiriisu
      Добрый день, случилась неудача, поймал вирус-шифратор.
      Поискал и в гугле, и на форуме, пропробовал Rannohdecryptor, но он ругается на разницу в размере фаилов.
      Чем можно ещё попробовать?
      Самое неприятное что не смог выяснить какая именно машина в сети поймала вирус, а в виду того что шифрование она ведет с конца по алфавитному порядку начала она с сетевого диска.
      Есть немного бэкапов, поэтому могу дать и оригинальный фаил, и шифрованный. (в приложении)
    • Meg@Zoid
      Шифровальщик. У всех файлов в конце названия появилась добавка id_3503374080_2irbar3mjvbap6gt.onion.to_
      Автор Meg@Zoid
      Зашифрованы файлы, у всех файлов появилось окончание id_3503374080_2irbar3mjvbap6gt.onion.to_ Шифровальщик остановился на одном месте и остальные файлы не шифрует. Можно как-то ещё спасти файлы?

      Вот примеры файлов и текстовый документ с рабочего стола.

      Вот текстовый документ.
      _DECRYPT_MY_FILES.txt
×
×
  • Создать...