Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

День добрый,

 

помогите одолеть шифровальщик.

 

После его работы осталось гора файлов с именами вида: email-tapok@tuta.io.ver-CL 1.5.1.0.id-2827572923-698255208362491355798773.fname-ibases.v8i.doubleoffset

После себя оставил кучу README с текстом write your country and server IP to tapok@tuta.io

 
Также удалось обнаружить сам исполняемый модуль зловреда, проверили его в закрытой виртуалке, убедились, что да, это оно.
 
Может его стоит переслать на изучение умным людям? Подскажите, куда направить?
И вообще - есть ли шансы?
 
 

На всякий случай, прилагаю лог сборщика со второго компа, где порезвилась эта дрянь.

CollectionLog-2018.08.27-13.06.zip

CollectionLog-2018.08.27-13.19.zip

Изменено пользователем sscoodd
Опубликовано

2018-08-26 08:24 - 2018-08-06 05:08 - 000495616 _____ () C:\Users\armen\Downloads\tosenderbuild.exe

2018-08-26 08:04 - 2018-07-15 16:10 - 000134656 _____ C:\Users\armen\Desktop\my.exe
2018-08-26 08:03 - 2018-07-15 16:10 - 000134656 _____ C:\Users\armen\Downloads\my.exe

Загрузите в zip архиве данный файл через данную форму https://www.virusinfo.info/upload_virus.php?tid=37678

 

ESET File Security (HKLM\...\{A82EA635-7392-46A6-A800-9780B02630B9}) (Version: 6.4.12004.0 - ESET, spol. s r.o.)

 

В техподдержку Eset обращались? 

Опубликовано

Мы одновременно являемся клиентами Касперского, используем как персональные, так и корпоративные продукты.

 

Что касается эсета - обращались к ним в аналогичном случае год назад, но там вопрос не решился. Оттого и обращаюсь сюда.

Опубликовано (изменено)

Тогда имеет смысл создать сразу два запроса, первый - в техподдержку Eset, второй - в техподдержку Kaspersky Lab, инструкция по созданию запроса здесь https://forum.kasperskyclub.ru/index.php?showtopic=48525 . К запросу прикрепите файл C:\Users\armen\Downloads\my.exe

Изменено пользователем mike 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • S-e-r-s-h
      Автор S-e-r-s-h
      Добрый день. Хватанули троян, который зашифровал все документы таким образом: email-load180@aol.com.ver-CL 1.0.0.0.id-SBJKZCVMEGNQHJLOSVXZEGIMPSVXCEGJNQTU-02.09.2015 8@18@454361717.randomname-CNOCKUQNTOEVIVKQBSIWJZUKAQVPET.MGZ.cbf
      После заражения воспользовались восстановлением системы на предыдущий дату и проверили Kaspersky Virus Removal Tool 2015, а после, продленным Small Office Security. Вроде ничего не нашел.  Очень нужна ваша помощь. Как убедиться, что источника заразы больше нет и как расшифровать документы? CollectionLog-2015.09.07-11.35.zip
    • sidor
      Автор sidor
      Здравствуйте!
      Все как обычно, пришло письмо, якобы от налоговой, дальше открытие архива, без сохранения и проверки антивирусом.
      Результат-все файлы  MSO зашифрованы - названия начинаются с seven_legion@aol.com
      Что сделал:
      1. Прошелся по диску kav_rescue_10.
       по классификации каспера выявлено Win32.VBKryjetor.wes  в program files и в корневике системы.
      2. Удалил из автозагрузки окошко с предупреждением.
      3. Собрал логи.

         CollectionLog-2015.09.04-14.27
      Посмотрите, пожалуйста, может где еще дыры или зверье сидит?
       
      По поводу расшифровки: пробовал rectordecryptor и xoristdecryptor, не помогло.
      Может у кого есть дешифратор для моего случая? Плзз. А то девчонкам этим несчастным неделю на складе ревизию проводить....
       
      CollectionLog-2015.09.04-14.27.zip
    • Елена К
      Автор Елена К
      Получила письмо на почту, открыла прикрепленный файл, через пару часов на рабочем столе надпись "Твои файлы зашифрованы, отправь файл на почту Seven_legion2@aol.com ...."  Все файлы текстовые, все фото зашифрованы. Можно расшифровать фото?

      Прочитала предыдущее сообщение, сделала как там было написано, прикрепляю файлы. Очень надеюсь на помощь.
      CollectionLog-2015.09.05-22.02.zip
      Addition_05-09-2015_22-36-03.txt
      FRST_05-09-2015_22-36-03.txt
    • Klu4nik
      Автор Klu4nik
      Здравствуйте!
       
      Пользователь запустил файл из прикрепленного к письму с мэйл.ру архива wordpad.rar. Kaspersky WS не среагировал. Прошло шифрование, фото документы (много, важное), обои сменились на требование. После перезагрузки, KWS-ом автоматически был обнаружен троян: "Удалено троянская программа Trojan.Win32.Inject.vgcj C:\Program Files\explore.exe 27.08.2015 12:35:13".
       
      Спасибо за ваше время и желание помочь!
        CollectionLog-2015.08.27-13.23.zip
    • Арсен Омаров
      Автор Арсен Омаров
      Всем привет! Прошу Вашей помощи! Сегодня к моей сестре на почту пришло письмо по работе! Она открыла и запустила файл который..в общем во вложении прикрепляю фото рабочего стола на котором сообщение:
       Твои файлы зашифрованы, если хочешь все вернуть, отправь 1 зашифрованный файл на эту почту
      и т.д.
       
      так же высылаю логи..


      CollectionLog-2015.08.24-14.29.zip
×
×
  • Создать...