зашифровано в CTBlocker

RSS
Доброе время суток всем.
Ситуация такая как описано ниже. Поймали непонятное и файлы jpg, txt и далее были переименованы с расширением *.ctbl

Вот что нарыл на просторах инета. Взято с форума Касперского. Копирую автора почти полностью, т.к у меня ситуация 1 в 1 как описано ниже.
Ссылка на сайт откуда взята инфа:
http://forum.kaspersky.com/index.php?s=37f92b710fc36f24e1767a1820c9ac01&showtopic=299536&pid=2255­970&st=0&#entry2255970

"Добрый день!

Это мой первый пост на этом форуме, поэтому, пожалуйста, поправьте меня, если я что-то предоставил не в том виде, или просто недописал. Постараюсь изложить поподробнее историю.

Поймали странный шифровальщик. После перезапуска системы часть файлов *.txt, *.doc, *.xls, *.xlsx, *.jpg, по традиции, оказались зашифрованными.
Никаких уведомлений, текстовых файлов, угроз и предложений не было обнаружено. Никаких писем и прочего не поступало.

К имени зашифрованного файла добавляется расширение *.ctbl
Размер файла примерно равен размеру оригинала.

Сам компьютер важно было продолжать использовать, поэтому пришлось удалить из реестра записи о запуске файлов. Сами подозрительные файлы сложил в отдельную папку.

При беглом поиске обнаружил несколько групп файлов.

Во-первых, был запущен некий странный процесс minerd.exe, что очень сильно напоминает троянца, который майнит всякие биткоины и прочее. Судя по всему, запускался он через какую-то сложную систему BAT-файлов, копируя себя и сопровождающие библиотеки в %AppData%\Microsoft\sys32, называясь driver.exe или drive.exe и прописываясь в автозагрузку через HKCU\...\Run. Также копия driver.exe шла в %ALLUSERSPROFILE%\Start Menu\Programs\Startup\.
При запуске системы это всё добро стартовало в 5-6 копий и висело в памяти.

Во-вторых, в %temp% лежал файл mslzxvvyt.exe. Сам файл был залочен, при этом handle.exe от Sysinternals затруднялся ответить, что же блочит этот файл. Пришлось грузиться в безопасном режиме, чтобы перенести его из %temp% в папку. Возможно, именно это и есть шифровальщик.

В-третьих, в %userprofile% лежал 37-мегабайтный скрытый hqxejuyz.exe, в котором видны повторяющиеся структуры данных и что-то про Symantec. Поскольку Symantec давно был удалён, и я не помню, чтобы он клал что-то прямо в папку пользователя, тоже отправил в ту же папку, на всякий случай.

В-четвёртых, в папке Windows\System32, а также в %temp% лежали целая куча exe-файлов вида run[7-8 цифр].exe размером ок. 680 кб.

Ну и, наконец, в %temp% был обнаружен wkjtqif.html, в котором в красивую аккуратную табличку белыми буквами на сером фоне были занесены имена некоторых пошифрованных файлов. Что характерно, в конце файла не закрыты теги </table></body></html>, то есть, возможно, генерация файла была прервана."
......................................................
У меня все тоже самое. Пользователь в панике, т.к "зашифрованы" почти все личные фотографии.
Что делать и как с этим бороться?
Благодарю за внимание.
Изменено: Danetak Danetak - 18.11.2016 07:29:55

Ответы

Здравствуйте, отправьте запрос с описанием проблемы по адресу: support@esetnod32.ru
ESET Technical Support
Помогите, пожалйста подобрать дешифровальщик. Зашифрованы все документы компьютера (ворд, ексель и блокнот). С изображениями всё нормально. Документы стали иметь расширение: DOCX.jvrersf. После отката ОС на 2 дня, текстовые документы уже создаются, но с ограниченным функционалом, а старые закодированы. Заранее спасибо!
Здравствуйте, для решения проблемы отправьте запрос в техподдержку: support@esetnod32.ru
ESET Technical Support
пришло письмо, ESET обнаружил троян : Win32/Kryptik.CVQF
при проверке компьютера также найдены: Win32/Filecoder.DA и Win32/Filecoder.GEN

после чего все документы зашифрованы и переименованы в расширение *.kepzscn и *.uzpemje.

Помогите с дешифратором.
Аналогичная проблема:
ESET обнаружил Win32/Filecoder.DA
документы зашифрованы и переименованы в расширение *.qyiojke
на рабочем столе подменены обои с текстом

"Your documents, photos, databases and other important files have been encryptedwith strongest encryption and unique key, generated for this computer.

Private decryption key is stored on a secret Internet server and nobody can
decrypt your files until you pay and obtain the private key.

If you see the main locker window, follow the instructions on the locker.
Overwise, it's seems that you or your antivirus deleted the locker program.
Now you have the last chance to decrypt your files.

Open http://ohmva4gbywokzqso.onion.cab or http://ohmva4gbywokzqso.tor2web.org
in your browser. They are public gates to the secret server.

If you have problems with gates, use direct connection:

1. Download Tor Browser from http://torproject.org

2. In the Tor Browser open the http://ohmva4gbywokzqso.onion/
  Note that this server is available via Tor Browser only.
  Retry in 1 hour if site is not reachable.

Copy and paste the following public key in the input form on server. Avoid missprints.
CP2PXZE-5AAAUOG-2EDVAMZ-RDJFMZS-O6BWSSK-3PL6OZO-IUTQKTQ-YIM4M4B
F6FPRW4-JZAVO3R-Q2FXPZR-KVUYMKE-VNR2DZE-5THHEIR-7MGOVBI-DKAMNYM
CUQITUO-GI67O2G-WGAS7H2-6XF6OS7-CSJKKAW-3QD444R-WWLQ6RY-WS5Z6SB


Follow the instructions on the server."
Изменено: Alexii yan - 27.05.2016 16:19:49
архив с вирусом удалите с форума, и отправьте с паролем infected в техподдержку support@esetnod32.ru
Полностью идентичная с предыдущим постом проблема.
EFRNFPK-MNQZTM3-L2BOFQG-5BOVHJX-SDOSVVE-J5QZJIV-YOKVGRH-Y7WA3T7
2W6UDFG-3GNF2DH-NIB5VEW-YZWPZXE-6BVWHHW-QC7PMNT-2RWPXUO-YMYUMOM
YAFGRFO-MSFOE2V-SFTYC64-J3ER4BN-NLEWVMA-VDIMOIP-E5Y2XHX-TC53TA7
вложил доки в архив криптованый и оригинал
Изменено: Дмитрий Самсонов - 27.05.2016 16:19:50
Аналогичная проблема.
Вчера (19.01) пользователь получил письмо с вложением recreation.zip‎ (17 KB). Запустил. Сегодня в этом файле диагностировали Win32/TrojanDownloader.Elenoocka.A.
Сегодня (20.01) обнаружен вредоносный файл - Win32/Filecoder.DA
Файлы документов в результате имеют расширение .hudnkwn
Сейчас exe в карантине.
Изменено: Владимир Шулаков - 27.05.2016 16:19:50
Цитата
Muzaffar Mavlyanov написал:
пришло письмо, ESET обнаружил троян : Win32/Kryptik.CVQF
при проверке компьютера также найдены: Win32/Filecoder.DA и Win32/Filecoder.GEN

после чего все документы зашифрованы и переименованы в расширение *.kepzscn и *.uzpemje.

Помогите с дешифратором.
здесь поясните в какой последовательности вы это делали?

1. вначале запустили вложение из письма
2. файлы были зашифрованы и переименованы
3. затем сделали проверку письма

или
1. сделали проверку письма антивирусом
2. запустили вложение из письма
3. файлы были после этого зашифрованы
В моем случае пользователь получил письмо по электронке в Outlook 2010 после чего ничего не произошло  и не происходило до утра вчерашнего дня когда документы по очереди стали превращаться в зашифрованные ярлыки перестали открывать постоянные документы.
Пк не быстрый сообщение о том что "вас зашифровано" выскочило только к вечеру
и висит на раб столе с отсчетом времени.
на данный момент осталось 80 часов до удаления криптора.
письмо и файл в почте достать невозможно *.pst также зашифрован и не открывается.
Никакими антивирусами и модулями спайвар и т.д. не делал! чтобы не убить вирус.
Ранее сталкивались тогда стоял ДРвебер и ребята из поддержки решили вопрос очень оперативно выслав декодер.
Тогда ими и были запрошены файлы оригинал и закодированный файл.
Собственно по аналогии вложил их в прошлый пост.
Заранее благодарен за любую помощь в решении данного вопроса.
Изменено: Дмитрий Самсонов - 27.05.2016 16:19:50
Читают тему (гостей: 1)