зашифровано в CTBlocker

RSS
Доброе время суток всем.
Ситуация такая как описано ниже. Поймали непонятное и файлы jpg, txt и далее были переименованы с расширением *.ctbl

Вот что нарыл на просторах инета. Взято с форума Касперского. Копирую автора почти полностью, т.к у меня ситуация 1 в 1 как описано ниже.
Ссылка на сайт откуда взята инфа:
http://forum.kaspersky.com/index.php?s=37f92b710fc36f24e1767a1820c9ac01&showtopic=299536&pid=2255­970&st=0&#entry2255970

"Добрый день!

Это мой первый пост на этом форуме, поэтому, пожалуйста, поправьте меня, если я что-то предоставил не в том виде, или просто недописал. Постараюсь изложить поподробнее историю.

Поймали странный шифровальщик. После перезапуска системы часть файлов *.txt, *.doc, *.xls, *.xlsx, *.jpg, по традиции, оказались зашифрованными.
Никаких уведомлений, текстовых файлов, угроз и предложений не было обнаружено. Никаких писем и прочего не поступало.

К имени зашифрованного файла добавляется расширение *.ctbl
Размер файла примерно равен размеру оригинала.

Сам компьютер важно было продолжать использовать, поэтому пришлось удалить из реестра записи о запуске файлов. Сами подозрительные файлы сложил в отдельную папку.

При беглом поиске обнаружил несколько групп файлов.

Во-первых, был запущен некий странный процесс minerd.exe, что очень сильно напоминает троянца, который майнит всякие биткоины и прочее. Судя по всему, запускался он через какую-то сложную систему BAT-файлов, копируя себя и сопровождающие библиотеки в %AppData%\Microsoft\sys32, называясь driver.exe или drive.exe и прописываясь в автозагрузку через HKCU\...\Run. Также копия driver.exe шла в %ALLUSERSPROFILE%\Start Menu\Programs\Startup\.
При запуске системы это всё добро стартовало в 5-6 копий и висело в памяти.

Во-вторых, в %temp% лежал файл mslzxvvyt.exe. Сам файл был залочен, при этом handle.exe от Sysinternals затруднялся ответить, что же блочит этот файл. Пришлось грузиться в безопасном режиме, чтобы перенести его из %temp% в папку. Возможно, именно это и есть шифровальщик.

В-третьих, в %userprofile% лежал 37-мегабайтный скрытый hqxejuyz.exe, в котором видны повторяющиеся структуры данных и что-то про Symantec. Поскольку Symantec давно был удалён, и я не помню, чтобы он клал что-то прямо в папку пользователя, тоже отправил в ту же папку, на всякий случай.

В-четвёртых, в папке Windows\System32, а также в %temp% лежали целая куча exe-файлов вида run[7-8 цифр].exe размером ок. 680 кб.

Ну и, наконец, в %temp% был обнаружен wkjtqif.html, в котором в красивую аккуратную табличку белыми буквами на сером фоне были занесены имена некоторых пошифрованных файлов. Что характерно, в конце файла не закрыты теги </table></body></html>, то есть, возможно, генерация файла была прервана."
......................................................
У меня все тоже самое. Пользователь в панике, т.к "зашифрованы" почти все личные фотографии.
Что делать и как с этим бороться?
Благодарю за внимание.
Изменено: Danetak Danetak - 18.11.2016 07:29:55

Ответы

Расширение всех файлов
\Decrypt All Files pjjzhcf.TXTWin32/Filecoder.DA.Gen троянская программаудален
\Мои рисунки\2010\июль\Decrypt All Files pjjzhcf.TXTWin32/Filecoder.DA.Gen троянская
Ежемесячный отчет Октябрь.XLS.pjjzhcf
Помогите пожалуйста
Пример файлов http://www.ex.ua/945872808240
Изменено: Александр Тимощенко - 12.06.2016 12:05:07
Дмитрий Самсонов,
скорее всего шифратор был запущен пользователем из архива, вложенного в письмо.
по расшифровке документов надо обращаться в техническую поддержку support@esetnod32.ru

замечу что расшифровка с каждым разом все сложнее и сложнее.
к примеру bat.encoder за пологода так и никто не смог расшифровать.
потому надеяться на расшифровку доков - самое последнее дело,
надо озаботиться укреплением защитной линии: проверка почты, отсечение спама, информатирование пользователей, наличие антвирусной защиты конечно
+ регулярное создание копий документов.
Здравствуйте!

И я сегодня столкнулся с аналогичной проблемой. Найден вирус Win32/Filecoder.DA. Все файлы зашифрованы с расширением .smnkmig

Уже написал в службу техподдержки, очень надеюсь на дешифрование, так как это компьютер бухгалтерии, и там очень много важных файлов
если файлов много важных, то и отношение к ним должно быть соответствующее: а именно, создание архивных копий.
Изменено: santy - 27.05.2016 16:19:50
Цитата
santy написал:

Цитата
Muzaffar Mavlyanov   написал:
пришло письмо, ESET обнаружил троян : Win32/Kryptik.CVQF
при проверке компьютера также найдены: Win32/Filecoder.DA и Win32/Filecoder.GEN

после чего все документы зашифрованы и переименованы в расширение *.kepzscn и *.uzpemje.

Помогите с дешифратором.
здесь поясните в какой последовательности вы это делали?

1. вначале запустили вложение из письма
2. файлы были зашифрованы и переименованы
3. затем сделали проверку письма

или
1. сделали проверку письма антивирусом
2. запустили вложение из письма
3. файлы были после этого зашифрованы

Получил письмо, открыл, а там вложение (архив), открыл вложение, внутри тоже архив, вроде бы ничего особенного, закрыл, спустя примерно час появилось сообщение на экране что все файлы будут зашифрованы если не оплачу какую ту сумму в течении 96 часов, и понеслось.
потом решил проверить на вирусы и удалил трояны.
Аналогичная проблема. Нужен дешифратор

Your documents, photos, databases and other important files have been encryptedwith strongest encryption and unique key, generated for this computer.

Private decryption key is stored on a secret Internet server and nobody can
decrypt your files until you pay and obtain the private key.

If you see the main locker window, follow the instructions on the locker.
Overwise, it's seems that you or your antivirus deleted the locker program.
Now you have the last chance to decrypt your files.

Open http://ohmva4gbywokzqso.onion.cab or http://ohmva4gbywokzqso.tor2web.org
in your browser. They are public gates to the secret server.

If you have problems with gates, use direct connection:

1. Download Tor Browser from http://torproject.org

2. In the Tor Browser open the http://ohmva4gbywokzqso.onion/
  Note that this server is available via Tor Browser only.
  Retry in 1 hour if site is not reachable.

Copy and paste the following public key in the input form on server. Avoid missprints.
QYQMBAJ-QRGZGVO-WWYGW2U-XKYFT64-QZIGIGX-WXZ73YS-EEPY6BE-PJ6MQ3E
QTXISUT-GYKKIDJ-YL7TKCN-2DXZOF5-73LLC3L-3TB423Q-BKNAYY2-4TLKAW3
YSO735B-J3XG4QX-NML7ZC3-4W6S5EQ-4Z6SFSN-HNLZUZU-VMYWIQ6-XSCAQIC


Follow the instructions on the server.
Аналогичная проблема. Нужен дешифратор

Your documents, photos, databases and other important files have been encryptedwith strongest encryption and unique key, generated for this computer.

Private decryption key is stored on a secret Internet server and nobody can
decrypt your files until you pay and obtain the private key.

If you see the main locker window, follow the instructions on the locker.
Overwise, it's seems that you or your antivirus deleted the locker program.
Now you have the last chance to decrypt your files.

Open http://ohmva4gbywokzqso.onion.cab or http://ohmva4gbywokzqso.tor2web.org
in your browser. They are public gates to the secret server.

If you have problems with gates, use direct connection:

1. Download Tor Browser from http://torproject.org

2. In the Tor Browser open the http://ohmva4gbywokzqso.onion/
  Note that this server is available via Tor Browser only.
  Retry in 1 hour if site is not reachable.

Copy and paste the following public key in the input form on server. Avoid missprints.
QYQMBAJ-QRGZGVO-WWYGW2U-XKYFT64-QZIGIGX-WXZ73YS-EEPY6BE-PJ6MQ3E
QTXISUT-GYKKIDJ-YL7TKCN-2DXZOF5-73LLC3L-3TB423Q-BKNAYY2-4TLKAW3
YSO735B-J3XG4QX-NML7ZC3-4W6S5EQ-4Z6SFSN-HNLZUZU-VMYWIQ6-XSCAQIC


Follow the instructions on the server.


У кого есть решение?
Цитата
Александр Полянский написал:
Аналогичная проблема. Нужен дешифратор

Your documents, photos, databases and other important files have been encryptedwith strongest encryption and unique key, generated for this computer.

Private decryption key is stored on a secret Internet server and nobody can
decrypt your files until you pay and obtain the private key.

If you see the main locker window, follow the instructions on the locker.
Overwise, it's seems that you or your antivirus deleted the locker program.
Now you have the last chance to decrypt your files.

Open  http://ohmva4gbywokzqso.onion.cab  or  http://ohmva4gbywokzqso.tor2web.org  
in your browser. They are public gates to the secret server.

If you have problems with gates, use direct connection:

1. Download Tor Browser from  http://torproject.org

2. In the Tor Browser open the  http://ohmva4gbywokzqso.onion/
  Note that this server is available via Tor Browser only.
  Retry in 1 hour if site is not reachable.

Copy and paste the following public key in the input form on server. Avoid missprints.
QYQMBAJ-QRGZGVO-WWYGW2U-XKYFT64-QZIGIGX-WXZ73YS-EEPY6BE-PJ6MQ3E
QTXISUT-GYKKIDJ-YL7TKCN-2DXZOF5-73LLC3L-3TB423Q-BKNAYY2-4TLKAW3
YSO735B-J3XG4QX-NML7ZC3-4W6S5EQ-4Z6SFSN-HNLZUZU-VMYWIQ6-XSCAQIC


Follow the instructions on the server.


У кого есть решение?
У меня аналогичная ситуация, зашифровало файлы в разширение *.ffeguqm, а у Вас?
Доброго времени суток!

Аналогичная проблема как и у Александра Полянского.

Пользователю пришел архив, после открытия архива через какое то время у файлов с расширением doc(x), xls(x), txt поменялось расширение на .bgbhkxj

Зловред был убит вручную (в безопасном режиме drweb cureIt) на него не чего не указал. На данный момент вновь созданные файлы не шифруются, но, старые остались с измененными разрешениями. Дешифраторы касперского, dr web расшифровать файлы не могут. Если у кого то появится информация, либо дешифратор, прошу уведомить в данной теме (если не сложно в личку). Ждем, надеемся и верим...
Цитата
Александр Вивдыч написал:

Цитата
Александр Полянский   написал:
Аналогичная проблема. Нужен дешифратор

Your documents, photos, databases and other important files have been encryptedwith strongest encryption and unique key, generated for this computer.

Private decryption key is stored on a secret Internet server and nobody can
decrypt your files until you pay and obtain the private key.

If you see the main locker window, follow the instructions on the locker.
Overwise, it's seems that you or your antivirus deleted the locker program.
Now you have the last chance to decrypt your files.

Open   http://ohmva4gbywokzqso.onion.cab   or   http://ohmva4gbywokzqso.tor2web.org  
in your browser. They are public gates to the secret server.

If you have problems with gates, use direct connection:

1. Download Tor Browser from   http://torproject.org  

2. In the Tor Browser open the   http://ohmva4gbywokzqso.onion/  
  Note that this server is available via Tor Browser only.
  Retry in 1 hour if site is not reachable.

Copy and paste the following public key in the input form on server. Avoid missprints.
QYQMBAJ-QRGZGVO-WWYGW2U-XKYFT64-QZIGIGX-WXZ73YS-EEPY6BE-PJ6MQ3E
QTXISUT-GYKKIDJ-YL7TKCN-2DXZOF5-73LLC3L-3TB423Q-BKNAYY2-4TLKAW3
YSO735B-J3XG4QX-NML7ZC3-4W6S5EQ-4Z6SFSN-HNLZUZU-VMYWIQ6-XSCAQIC


Follow the instructions on the server.


У кого есть решение?
У меня аналогичная ситуация, зашифровало файлы в разширение *.ffeguqm, а у Вас?
Исходя из все возможных форумов, выявил тот факт, что расширение меняется в произвольной форме. Но, ссылки одинаковые. Видимо и разновидность гада одинаковая (в %temp%) было обнаружено 2 exe файла. Так же висела скрытая задача в авто запуске.
Читают тему (гостей: 2)