зашифровано в CTBlocker

RSS
Доброе время суток всем.
Ситуация такая как описано ниже. Поймали непонятное и файлы jpg, txt и далее были переименованы с расширением *.ctbl

Вот что нарыл на просторах инета. Взято с форума Касперского. Копирую автора почти полностью, т.к у меня ситуация 1 в 1 как описано ниже.
Ссылка на сайт откуда взята инфа:
http://forum.kaspersky.com/index.php?s=37f92b710fc36f24e1767a1820c9ac01&showtopic=299536&pid=2255­970&st=0&#entry2255970

"Добрый день!

Это мой первый пост на этом форуме, поэтому, пожалуйста, поправьте меня, если я что-то предоставил не в том виде, или просто недописал. Постараюсь изложить поподробнее историю.

Поймали странный шифровальщик. После перезапуска системы часть файлов *.txt, *.doc, *.xls, *.xlsx, *.jpg, по традиции, оказались зашифрованными.
Никаких уведомлений, текстовых файлов, угроз и предложений не было обнаружено. Никаких писем и прочего не поступало.

К имени зашифрованного файла добавляется расширение *.ctbl
Размер файла примерно равен размеру оригинала.

Сам компьютер важно было продолжать использовать, поэтому пришлось удалить из реестра записи о запуске файлов. Сами подозрительные файлы сложил в отдельную папку.

При беглом поиске обнаружил несколько групп файлов.

Во-первых, был запущен некий странный процесс minerd.exe, что очень сильно напоминает троянца, который майнит всякие биткоины и прочее. Судя по всему, запускался он через какую-то сложную систему BAT-файлов, копируя себя и сопровождающие библиотеки в %AppData%\Microsoft\sys32, называясь driver.exe или drive.exe и прописываясь в автозагрузку через HKCU\...\Run. Также копия driver.exe шла в %ALLUSERSPROFILE%\Start Menu\Programs\Startup\.
При запуске системы это всё добро стартовало в 5-6 копий и висело в памяти.

Во-вторых, в %temp% лежал файл mslzxvvyt.exe. Сам файл был залочен, при этом handle.exe от Sysinternals затруднялся ответить, что же блочит этот файл. Пришлось грузиться в безопасном режиме, чтобы перенести его из %temp% в папку. Возможно, именно это и есть шифровальщик.

В-третьих, в %userprofile% лежал 37-мегабайтный скрытый hqxejuyz.exe, в котором видны повторяющиеся структуры данных и что-то про Symantec. Поскольку Symantec давно был удалён, и я не помню, чтобы он клал что-то прямо в папку пользователя, тоже отправил в ту же папку, на всякий случай.

В-четвёртых, в папке Windows\System32, а также в %temp% лежали целая куча exe-файлов вида run[7-8 цифр].exe размером ок. 680 кб.

Ну и, наконец, в %temp% был обнаружен wkjtqif.html, в котором в красивую аккуратную табличку белыми буквами на сером фоне были занесены имена некоторых пошифрованных файлов. Что характерно, в конце файла не закрыты теги </table></body></html>, то есть, возможно, генерация файла была прервана."
......................................................
У меня все тоже самое. Пользователь в панике, т.к "зашифрованы" почти все личные фотографии.
Что делать и как с этим бороться?
Благодарю за внимание.
Изменено: Danetak Danetak - 18.11.2016 07:29:55

Ответы

Я подозреваю, что это новая модификация ранее известного вируса
Суть вопроса - будет ли дешифровщик.

Trojan.Encoder.686[TABLE][TR][TD]Добавлен в вирусную базу Dr.Web:[/TD][TD]2014-07-11[/TD][/TR][TR][TD]Описание добавлено:[/TD][TD]2014-07-11[/TD][/TR][/TABLE]
Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
  • %WINDIR%\Tasks\imbdhsd.job


Изменения в файловой системе:
Создает следующие файлы:
  • %HOMEPATH%\My Documents\DecryptAllFiles 175546.txt
  • %HOMEPATH%\My Documents\AllFilesAreLocked 175562.bmp
  • C:\RECYCLER\S-1-5-21-2052111302-484763869-725345543-1003\desktop.ini
  • %ALLUSERSPROFILE%\Application Data\Microsoft\wqnwaoa
  • %TEMP%\greddfe.exe
  • %HOMEPATH%\My Documents\dpedqad.html
Присваивает атрибут 'скрытый' для следующих файлов:
  • %WINDIR%\Tasks\imbdhsd.job


Другое:
Ищет следующие окна:
  • ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
  • ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
  • ClassName: 'Shell_TrayWnd' WindowName: ''
  • ClassName: 'Shell_TrayWnd' WindowName: '(null)'





Вот описание нескольких служб:

Расширение *.ctbl к зашифрованным файлам добавляет первая (и пока единственная) модификация Trojan.Encoder.686. Расшифровка нашими силами, я считаю, невозможна в связи с использованием эллиптической криптографии.

Ответ от DrWeb


Добавлен в вирусную базу Dr.Web: 2014-07-11 - добавлена первая модификация.

В данном случае файлы пострадали от новой модификации, которая начала свое распространение в последние 2 дня.

Если у нас появится средство для расшифровки, Вы получите его в этом запросе, работы ведутся.
Файлы зашифрованы Trojan.Encoder.686.
Готовой расшифровки в данном случае нет, сейчас идет изучение криптосхемы шифровальщика.
По первичному анализу образца трояна-шифровальщика имеем информацию, что расшифровка не появится в ближайшей перспективе, и пока довольно низкие шансы, что появится в дальнейшем.

Если мы получим какую-либо практически полезную для расшифровки ваших файлов информацию, мы сообщим Вам.

Цитата
Сергей Лыщик написал:
Специально зарегистрировался, из-за этой темы. Есть информация.К сожалению - пока не утешительная. Мы имеем дело с очередными вымогателями! На самом деле в корневом диске находился неприметный HTML файл. У меня он носит название "yxgcgjl". Далее цитирую текст письма:
" Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer.
Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.
If you see the main locker window, follow the instructions on the locker.
Overwise, it's seems that you or your antivirus deleted the locker program.
Now you have the last chance to decrypt your files.
1. Go to site  http://torproject.org .
2. Press 'DOWNLOAD Tor Browser Bundle', install and run it.
3. Now you have Tor Browser. In the Tor Browser open the  http://zaxseiufetlkwpeu.onion
Note that this server is available via Tor Browser only.
4. Copy and paste the following public key in the input form on server. Avoid missprints.
ME3F6L-ZY44Z2-ECJEDC-ID42E4-OFX6EH-YUJK7S-QCD4XU-VVDQZT
JSWKCF-BWNLVE-PETFDU-RZMEAS-IKTTSW-RZEVQY-SGWZ2Q-73OZXA
PDHQP5-YT5Y6J-R35MU7-3ZBVS7-EGPAC6-VMOSPC-CJ4PUM-WBUQV6
5. Follow the instructions on the server."
Далее идёт перечень зашифрованных файлов. Для тех, кто не знает английского,( как в прочем и я ) привожу приблизительный перевод:
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы с сильнейшей шифрования и уникальный ключ, генерируемыми для данного компьютера.
Секретный ключ расшифровки хранится на секретном сервере в сети Интернет, и никто не может расшифровать файлы, пока вы платите и получить секретный ключ.
Если вы видите главное окно шкафчик, следуйте инструкциям на шкафчике.
Умничай, это кажется, что вы или ваш антивирус удалил программу шкафчик.
Теперь у вас есть последний шанс для расшифровки файлов.
1. Перейти на сайт  http://torproject.org .
2. Нажмите 'СКАЧАТЬ Tor Browser Bundle ", установить и запустить его.
3. Теперь у вас есть Tor Browser. В браузере Tor открыть  http://zaxseiufetlkwpeu.onion
Обратите внимание, что этот сервер доступен только через Tor Browser.
4. Скопируйте и вставьте открытый ключ следующий в форме ввода на сервере. Избегайте missprints.
ME3F6L-ZY44Z2-ECJEDC-ID42E4-OFX6EH-YUJK7S-QCD4XU-VVDQZT
JSWKCF-BWNLVE-PETFDU-RZMEAS-IKTTSW-RZEVQY-SGWZ2Q-73OZXA
PDHQP5-YT5Y6J-R35MU7-3ZBVS7-EGPAC6-VMOSPC-CJ4PUM-WBUQV6
5. Следуйте инструкциям на сервере.
Не знаю, каких масштабов достигла эта чума, но факт есть факт. Любопытно: HTML-файл в корне диска С у всех носит одинаковое название, или у каждого индивидуальное?


А вылечить удалось?
 Если интересно, могу выложить исходные файлы  и то, во что зашифровалось.
В моем случае потери - 1 бухгалтерская машина (= пол-дня на переустановку софта) + штук 20 файлов, изменявшихся в тот день (восстановился из бэкапа).
Sophos на сервере Инет + почтовом и  ESET SS 6.0 на конечной машине проворонили. Стоял раньше за сервере МакКаф, не было таких гемороев. Чувствую, придется возвращать старый софт 7-летней давности и на фаервол и на мылосервер - оно как-то надежнее было ...
Изменено: Валентин - 27.05.2016 16:21:02
Здравствуйте. Помогите, пожалуйста! На ноутбуке директора появился вирус, который данные word, excel, картинки зашифровал. Теперь после расширения у файлов стоит такой набор символов .dqkewzj
Очень нужна помощь!!!
добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/
Здравствуйте. Помогите, пожалуйста! На робочем комп  появился вирус, который данные word, excel, картинки зашифровал. Теперь после расширения у файлов стоит такой набор символов .jjoeeuk
Очень нужна помощь!!!
У меня похожая проблема только все файли перешифровались в jjoeeuk  .

Требуется дешифровщик.
Кому-нибудь помогло обращение за помощью в техподдержку ESET?
Читают тему (гостей: 3)