зашифровано с расширением id-_protectdata@inbox.com , Filecoder.DG / Encoder.741

RSS

Сообщений: 1

Регистрация: 26.01.2015

Размещено 26.01.2015 13:08:36

Получили по электронной почте письмо якобы повестка в суд ссылкой на то, что почту нашу нашли на едином портале государственных услуг, не осторожный специалист поверил и открыл архив, все файла на компьютере и сервере теперь зашифрованы и после расширения файла например: .dos дописано .id-7879484469_protectdata@inbox. Написала в техподдержку ESET NOD часов 5 назад, ответа нет

Ответы

Пред. 1 2 3 4 5 След.

Сообщений: 16574

Баллов: 13259

Регистрация: 16.03.2010

Размещено 04.02.2015 17:43:34

1. по очистке системы от банера шифратора выполните скрипт

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\VIKA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FOXMAIL.BMP delall %SystemDrive%\USERS\VIKA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FOXMAIL.BMP deltmp delnfr restart

Код

;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\VIKA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FOXMAIL.BMP
delall %SystemDrive%\USERS\VIKA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FOXMAIL.BMP
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------

2. у вас два установленных антивируса: AVG и корпоративный Касперский. один из них (скорее всего AVG лучше деинсталлировать)

3. обратитесь в любой из трех вирлабов: ESET NOD32, Касперский, Дрвеб.
однако имейте ввиду, что помощь в расшифровке возможно вам будет оказана только при наличии лицензии на антивирус.
по *protectdata@inbox.com возможно есть расшифровка в DrWeb

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 04.02.2015

Размещено 04.02.2015 18:29:39

Спасибо, завтра попробуем.На этом компьютере как раз Nod32 и не стоит.. Не подскажете как на вирлаб DrWeb'a выйти? И точно ли нельзя решить вопрос через вирлаб Nod'a, так как корпоративная лицензия у нас только на него имеется.

Сообщений: 16574

Баллов: 13259

Регистрация: 16.03.2010

Размещено 04.02.2015 18:57:13

выйдите на сайт ДрВеб, там все найдете. по расшифровке в ESET не могу сказать точно есть расшифровка или нет. Надо уточнить в техподдержке, кто занимается расшифровками файлов.

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 26.01.2015

Размещено 13.02.2015 13:58:48

На данный момент есть дешифратор?

Сообщений: 5153

Баллов: 4132

Регистрация: 12.05.2010

Размещено 13.02.2015 15:18:34

Артём Кухаренко,каждый случай разбирается индивидуально. Вы так и не выполнили инструкции Santy.

ESET Technical Support

Сообщений: 8

Баллов: 4

Регистрация: 30.06.2015

Размещено 30.06.2015 11:25:41

Пришла зараза..файлы зашифровались, NOD32 пропустил заразу и сработал через некоторое время.

Файлы все оказались зашифрованы... часть на диске "C" восстановил с
помощью ShadowExplorer, но на внешнем носителе данные тоже
зашифровывались

ЕСТЬ РЕШЕНИЕ ?

КОНТАКТОВ ВИРУС НЕ ОСТАВИЛ ...

24/06/2015

ОБРАЗ

Цитата
santy написал: добавьте образ автозапуска системы http://forum.esetnod32.ru/forum9/topic2687/

Прикрепленные файлы

GO_2015-06-30_10-58-00.7z (871.67 КБ)

Изменено: Валентин - 18.06.2017 15:11:51

Сообщений: 16574

Баллов: 13259

Регистрация: 16.03.2010

Размещено 30.06.2015 12:11:52

1. по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.25 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\ОЛЕГ ГУЩИН\APPDATA\ROAMING\DEFAULTTAB\DEFAULTTAB\DTUPDATE.EXE addsgn 1A47239A5583C58CF42B254E3143FE84C9A2FFF6895967DAC4C34CB12474304CAA02B3F57F5514544722C59FCF2321583CDF614F3178F12C4BFBB1BF65472215 8 Adware.Plugin.48 [DrWeb] zoo %SystemDrive%\PROGRAM FILES (X86)\ASSETS MANAGER\SMDMF\SMDMFSERVICE.EXE addsgn 1A48D89A5583C58CF42BC4A10C58896B25625A7289FA2CB80C862535152AF809C79C86B305108D34380BF197CDD8B6AF69DC9D7EDCAFB8D368934FCA0043C272 8 SearchSuite.D [ESET-NOD32] zoo %SystemDrive%\USERS\ALL USERS\DTDATA\R002.EXE addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6614423947EDF3A559D49A21D0C9B4616467FB6DCE872D85F24282D77F4D052AF2D73 32 adobe zoo %SystemDrive%\PROGRAM FILES (X86)\SMARTERPOWER\SMARTERPOWERBHO.DLL addsgn A7679B1928664D070E3CEF3C64C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D0D7928906C22471649C9BD9F6307595F4659214E916BBF05327C 64 Win32/BrowseFox.O [ESET-NOD32] zoo %SystemDrive%\USERS\ALL USERS\DL159\159.DLL addsgn 79132211B9E9317E0AA1AB5990961205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5A86CA414031E1FAD17D7B1CCCD49B13CA00A44DC628F678B 64 AdWare.Win32.BHO.beso [Kaspersky] zoo %SystemDrive%\USERS\ОЛЕГ ГУЩИН\DOWNLOADS\UNIFI-INSTALLER.EXE addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BCC38506CA82 59 Win32/Adware.ConvertAd.AQ [ESET-NOD32] zoo %SystemDrive%\USERS\ОЛЕГ ГУЩИН\UBIQUITI UNIFI\UNINSTALL.EXE delall %SystemDrive%\USERS\ОЛЕГ ГУЩИН\APPDATA\ROAMING\QIPGUARD\QIPGUARD.EXE delall %SystemDrive%\USERS\ОЛЕГ ГУЩИН\APPDATA\ROAMING\SETTINGS MANAGER\SETTINGSMANAGER.EXE hide M:\00 ЛИЧНОЕ\SETUP_11.0.0.1245.X01_2013_03_14_20_35.EXE hide J:\FREEMAKEVIDEOCONVERTERSETUP.EXE hide %SystemDrive%\USERS\ОЛЕГ ГУЩИН\DOWNLOADS\QIP2012.EXE hide %SystemDrive%\PROGRAM FILES (X86)\DOWNLOAD MASTER\DMASTER.EXE hide %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\PLUGINS\EXE\DECRYPTC.EXE hide %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILS\RANSOMHIDE\RANSOMHIDE.EXE addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6914D23947EDF3A559D49A21D0C9B4616467FB6DCE872D85F24282D77F4D052AF2D73 8 Adware.Plugin.971 [DrWeb] zoo %SystemDrive%\USERS\ALL USERS\DTDATA\R001.EXE zoo %SystemDrive%\USERS\ALL USERS\DTDATA\R003.EXE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-CODEDOWNLOADER.EXE delref STATS.SRVSTATSDATA.COM delref ERRORS.SRVSTATSDATA.COM delref APP-STATIC.CROSSRIDER.COM delref HTTP://UPDATE.SRVSTATSDATA.COM/IE_CODE_AGENT_UPDATES/{CAMP_ID}/UPDATE.JSON' delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-FIREFOXINSTALLER.EXE delref E0F95096-9ACD-4757-84D1-31900A5C8D72@100E8646-48F8-43C0-A36F-583295B2EABE.COM delref HTTPS://W9U6A2P6.SSL.HWCDN.NET/PLUGIN/FF/UPDATE/48930.RDF delref HTTP://UPDATE.SRVSTATSDATA.COM/FF_AGENT_UPDATES/{CAMP_ID}/UPDATE.JSON' delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-UPDATER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-VALIDATOR.EXE delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\UNINSTALL.EXE delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-BHO64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-BHO.DLL deldirex %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE delref {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47}\[CLSID] deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\125 delref HTTP://WWW.QIP.RU/ ; Defaulttab exec C:\Windows\system32\config\systemprofile\AppData\Roaming\defaulttab\defaulttab\uninstalldt.exe deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ОЛЕГ ГУЩИН\APPDATA\ROAMING\DEFAULTTAB\DEFAULTTAB\DTUPDATE.EXE
addsgn 1A47239A5583C58CF42B254E3143FE84C9A2FFF6895967DAC4C34CB12474304CAA02B3F57F5514544722C59FCF2321583CDF614F3178F12C4BFBB1BF65472215 8 Adware.Plugin.48 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\ASSETS MANAGER\SMDMF\SMDMFSERVICE.EXE
addsgn 1A48D89A5583C58CF42BC4A10C58896B25625A7289FA2CB80C862535152AF809C79C86B305108D34380BF197CDD8B6AF69DC9D7EDCAFB8D368934FCA0043C272 8 SearchSuite.D [ESET-NOD32]

zoo %SystemDrive%\USERS\ALL USERS\DTDATA\R002.EXE
addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6614423947EDF3A559D49A21D0C9B4616467FB6DCE872D85F24282D77F4D052AF2D73 32 adobe

zoo %SystemDrive%\PROGRAM FILES (X86)\SMARTERPOWER\SMARTERPOWERBHO.DLL
addsgn A7679B1928664D070E3CEF3C64C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D0D7928906C22471649C9BD9F6307595F4659214E916BBF05327C 64 Win32/BrowseFox.O [ESET-NOD32]

zoo %SystemDrive%\USERS\ALL USERS\DL159\159.DLL
addsgn 79132211B9E9317E0AA1AB5990961205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5A86CA414031E1FAD17D7B1CCCD49B13CA00A44DC628F678B 64 AdWare.Win32.BHO.beso [Kaspersky]

zoo %SystemDrive%\USERS\ОЛЕГ ГУЩИН\DOWNLOADS\UNIFI-INSTALLER.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BCC38506CA82 59 Win32/Adware.ConvertAd.AQ [ESET-NOD32]

zoo %SystemDrive%\USERS\ОЛЕГ ГУЩИН\UBIQUITI UNIFI\UNINSTALL.EXE
delall %SystemDrive%\USERS\ОЛЕГ ГУЩИН\APPDATA\ROAMING\QIPGUARD\QIPGUARD.EXE
delall %SystemDrive%\USERS\ОЛЕГ ГУЩИН\APPDATA\ROAMING\SETTINGS MANAGER\SETTINGSMANAGER.EXE
hide M:\00 ЛИЧНОЕ\SETUP_11.0.0.1245.X01_2013_03_14_20_35.EXE
hide J:\FREEMAKEVIDEOCONVERTERSETUP.EXE
hide %SystemDrive%\USERS\ОЛЕГ ГУЩИН\DOWNLOADS\QIP2012.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\DOWNLOAD MASTER\DMASTER.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\PLUGINS\EXE\DECRYPTC.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILS\RANSOMHIDE\RANSOMHIDE.EXE
addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6914D23947EDF3A559D49A21D0C9B4616467FB6DCE872D85F24282D77F4D052AF2D73 8 Adware.Plugin.971 [DrWeb]

zoo %SystemDrive%\USERS\ALL USERS\DTDATA\R001.EXE
zoo %SystemDrive%\USERS\ALL USERS\DTDATA\R003.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-CODEDOWNLOADER.EXE

delref STATS.SRVSTATSDATA.COM

delref ERRORS.SRVSTATSDATA.COM

delref APP-STATIC.CROSSRIDER.COM

delref HTTP://UPDATE.SRVSTATSDATA.COM/IE_CODE_AGENT_UPDATES/{CAMP_ID}/UPDATE.JSON'

delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-FIREFOXINSTALLER.EXE

delref E0F95096-9ACD-4757-84D1-31900A5C8D72@100E8646-48F8-43C0-A36F-583295B2EABE.COM

delref HTTPS://W9U6A2P6.SSL.HWCDN.NET/PLUGIN/FF/UPDATE/48930.RDF

delref HTTP://UPDATE.SRVSTATSDATA.COM/FF_AGENT_UPDATES/{CAMP_ID}/UPDATE.JSON'

delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-UPDATER.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-VALIDATOR.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\UNINSTALL.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-BHO64.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-BHO.DLL

deldirex %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE

delref {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47}\[CLSID]

deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\125

delref HTTP://WWW.QIP.RU/

; Defaulttab
exec  C:\Windows\system32\config\systemprofile\AppData\Roaming\defaulttab\defaulttab\uninstalldt.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

2. по расшифровке документов при наличие лицензии на наш антивирус обратитесь в техподдержку на адрес support@esetnod32.ru

Изменено: santy - 30.06.2015 12:13:27

[ Как создать образ автозапуска? ]

Сообщений: 8

Баллов: 4

Регистрация: 30.06.2015

Размещено 30.06.2015 13:01:32

Цитата

Олег МСК написал:
ОБРАЗ

Цитата
santy написал: добавьте образ автозапуска системы http://forum.esetnod32.ru/forum9/topic2687/

Обращался в NOD32 лицензия есть EAV-0142624018
Отправил им чистые и зараженные файлы, для понимания изменений.
Отправил тело вируса.

ОТВЕТ :
Здравствуйте.К сожалению, мы не сможем подобрать дешифратор для данного случая. Файлы зашифрованы с помощью Filecoder.DG, расшифровка без знания ключа шифрования, индивидуального для каждого случая, не возможна.

Мы рекомендуем Вам создать резервную копию зашифрованных файлов на случай, если в дальнейшем нам всё же удастся подобрать дешифратор (если это произойдёт, мы свяжемся с Вами), а также ознакомиться со следующей статьёй для уменьшения риска повторного заражения в дальнейшем:

http://www.esetnod32.ru/support/knowledge_base/solution/?IBLOCK_ID=53&SECTION_ID=1782&ELEMENT_ID=853007

Приносим свои извинения.
С уважением,
Николай Годельшин
Служба технической поддержки ESET Russia

Прикрепленные файлы

Malwarebytes_ANTI_GO.txt (56.48 КБ)

Изменено: Олег МСК - 30.06.2015 13:03:49

Сообщений: 16574

Баллов: 13259

Регистрация: 16.03.2010

Размещено 30.06.2015 13:05:40

по очистке системы:
по логу мбам:

2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991
---------

в данное время в системе не установлен антивирус, поэтому при активной работе в сети, можете наступить на те же грабли,
семейство шифраторов все время пополняется (питаясь образно говоря, денежной кровью беспечных юзеров) и обновляется, адаптируется в средствам защиты,
поэтому если есть лицензия, то надо ее использовать и установить антивирусную программу.

Изменено: santy - 30.06.2015 13:12:09

[ Как создать образ автозапуска? ]

Сообщений: 8

Баллов: 4

Регистрация: 30.06.2015

Размещено 30.06.2015 15:26:13

Цитата
в данное время в системе не установлен антивирус, поэтому при активной работе в сети, можете наступить на те же грабли, семейство шифраторов все время пополняется (питаясь образно говоря, денежной кровью беспечных юзеров) и обновляется, адаптируется в средствам защиты, поэтому если есть лицензия, то надо ее использовать и установить антивирусную программу. Изменено: santy - 30.06.2015 13:12:09

Цитата

в данное время в системе не установлен антивирус, поэтому при активной работе в сети, можете наступить на те же грабли,
семейство шифраторов все время пополняется (питаясь образно говоря, денежной кровью беспечных юзеров) и обновляется, адаптируется в средствам защиты,
поэтому если есть лицензия, то надо ее использовать и установить антивирусную программу.
Изменено: santy - 30.06.2015 13:12:09

АНТИВИРУС NOD32

Прикрепленные файлы

AdwCleaner[R1].txt (946 Б)
FRST.txt (90.73 КБ)
Addition.txt (58.48 КБ)

Изменено: Олег МСК - 30.06.2015 15:27:41

Пред. 1 2 3 4 5 След.

зашифровано с расширением *id-*_protectdata@inbox.com , Filecoder.DG / Encoder.741

Ответы

зашифровано с расширением id-_protectdata@inbox.com , Filecoder.DG / Encoder.741