зашифровано в CTBlocker

RSS
Доброе время суток всем.
Ситуация такая как описано ниже. Поймали непонятное и файлы jpg, txt и далее были переименованы с расширением *.ctbl

Вот что нарыл на просторах инета. Взято с форума Касперского. Копирую автора почти полностью, т.к у меня ситуация 1 в 1 как описано ниже.
Ссылка на сайт откуда взята инфа:
http://forum.kaspersky.com/index.php?s=37f92b710fc36f24e1767a1820c9ac01&showtopic=299536&pid=2255­970&st=0&#entry2255970

"Добрый день!

Это мой первый пост на этом форуме, поэтому, пожалуйста, поправьте меня, если я что-то предоставил не в том виде, или просто недописал. Постараюсь изложить поподробнее историю.

Поймали странный шифровальщик. После перезапуска системы часть файлов *.txt, *.doc, *.xls, *.xlsx, *.jpg, по традиции, оказались зашифрованными.
Никаких уведомлений, текстовых файлов, угроз и предложений не было обнаружено. Никаких писем и прочего не поступало.

К имени зашифрованного файла добавляется расширение *.ctbl
Размер файла примерно равен размеру оригинала.

Сам компьютер важно было продолжать использовать, поэтому пришлось удалить из реестра записи о запуске файлов. Сами подозрительные файлы сложил в отдельную папку.

При беглом поиске обнаружил несколько групп файлов.

Во-первых, был запущен некий странный процесс minerd.exe, что очень сильно напоминает троянца, который майнит всякие биткоины и прочее. Судя по всему, запускался он через какую-то сложную систему BAT-файлов, копируя себя и сопровождающие библиотеки в %AppData%\Microsoft\sys32, называясь driver.exe или drive.exe и прописываясь в автозагрузку через HKCU\...\Run. Также копия driver.exe шла в %ALLUSERSPROFILE%\Start Menu\Programs\Startup\.
При запуске системы это всё добро стартовало в 5-6 копий и висело в памяти.

Во-вторых, в %temp% лежал файл mslzxvvyt.exe. Сам файл был залочен, при этом handle.exe от Sysinternals затруднялся ответить, что же блочит этот файл. Пришлось грузиться в безопасном режиме, чтобы перенести его из %temp% в папку. Возможно, именно это и есть шифровальщик.

В-третьих, в %userprofile% лежал 37-мегабайтный скрытый hqxejuyz.exe, в котором видны повторяющиеся структуры данных и что-то про Symantec. Поскольку Symantec давно был удалён, и я не помню, чтобы он клал что-то прямо в папку пользователя, тоже отправил в ту же папку, на всякий случай.

В-четвёртых, в папке Windows\System32, а также в %temp% лежали целая куча exe-файлов вида run[7-8 цифр].exe размером ок. 680 кб.

Ну и, наконец, в %temp% был обнаружен wkjtqif.html, в котором в красивую аккуратную табличку белыми буквами на сером фоне были занесены имена некоторых пошифрованных файлов. Что характерно, в конце файла не закрыты теги </table></body></html>, то есть, возможно, генерация файла была прервана."
......................................................
У меня все тоже самое. Пользователь в панике, т.к "зашифрованы" почти все личные фотографии.
Что делать и как с этим бороться?
Благодарю за внимание.
Изменено: Danetak Danetak - 18.11.2016 07:29:55

Ответы

Пред. 1 ... 3 4 5 6 7 ... 22 След.
Для данного вируса нет декодера, он есть только у вирусописателей...
Аналогичная проблема. Расползлось по сети, пострадало огромное кол-во документов.
Примеры «чистого» и шифрованного файла прилагаю.
Николай шевченко, здравствуйте, если у Вас имеется лицензия ESET, обратитесь в техподдержку: support@esetnod32.ru
ESET Technical Support
При условии наличия лицензии отправьте запрос в техподдержку: support@esetnod32.ru
ESET Technical Support
На данный момент для данного типа Filecoder увы не имеется возможности дешифрации. Рекомендуется включить расширенную эвристику для запуска исполняемых файлов и модуль ESET Live Grid для снижения вероятности заражения.
ESET Technical Support
Здравствуйте, увы скорее всего расшифровать файлы не получится. Для точного ответа отправьте запрос по адресу: support@esetnod32.ru
ESET Technical Support
по шифратору ctb locker решения нет ни кого.


пробуйте следующие варианты восстановления данных.

Если ваши файлы стали зашифрованы и вы не собираетесь платить выкуп, то есть несколько способов, которыми можно попытаться восстановить ваши файлы.

Метод 1: резервное копирование
Первый и лучший способ, чтобы восстановить данные из последней резервной копии. Если вами было выполнено резервное копирование,
то вы должны использовать резервные копии для восстановления данных.

Способ 2: File Recovery Software

Похоже, что, когда CTB Locker шифрует файл, он сначала делает копию, шифрует копию, а затем удаляет оригинал.
Из-за этого вы можете сможет использовать программное обеспечение для восстановления файлов, таких как R-Studio или Photorec восстановить некоторые из ваших исходных файлов.
Важно отметить, что чем больше вы используете ваш компьютер после того, как файлы зашифрованы труднее будет для программы восстановления файлов для восстановления удаленных незашифрованные файлы.

Метод 3: Shadow Volume Copies

В крайнем случае, вы можете попробовать восстановить файлы с помощью теневого тома копий. К сожалению, эта инфекция будет пытаться удалять любые Shadow Volume Copies на вашем компьютере, но иногда это не удается сделать это, и вы можете использовать их для восстановления файлов. Для получения более подробной информации о том, как восстановить файлы с помощью теневого тома копий, пожалуйста, перейдите по ссылке ниже:

Как восстановить файлы, зашифрованные CTB Locker, использующих теневые тома копий
http://www.bleepingcomputer.com/viru...rmation#shadow
----------------
Новые варианты CTB Locker будет пытаться удалить все теневые копии при первом запуске любой исполняемый файл на компьютере после инфицирования. К счастью, инфекция не всегда в состоянии удалить теневые копии, так что вы должны продолжать пытаться восстановить свои файлы с помощью этого метода.


Method 4: Restore DropBox Folders

Если бы вы ваш аккаунт Dropbox отображается как буква диска, то вполне возможно, что его содержимое шифруется CTB Locker.
Если это так, вы можете использовать ссылку ниже, чтобы узнать, как восстановить файлы.

Как восстановить файлы, которые были зашифрованы на DropBox
http://www.bleepingcomputer.com/viru...mation#dropbox
Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !
Код
     




;uVS v3.85 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c

exec "C:\Program Files\McAfee Security Scan\uninstall.exe"
delref %SystemDrive%\PROGRAMDATA\BAIDU\SDWS\TMPFILES\BDLOGICUTILS.DLL
del %SystemDrive%\PROGRAMDATA\BAIDU\SDWS\TMPFILES\BDLOGICUTILS.DLL
delref %SystemDrive%\PROGRAMDATA\BAIDU\SDWS\TMPFILES\BDMNET.DLL
del %SystemDrive%\PROGRAMDATA\BAIDU\SDWS\TMPFILES\BDMNET.DLL
delref %SystemDrive%\PROGRAMDATA\BAIDU\SDWS\TMPFILES\BDMREPORT.DLL
del %SystemDrive%\PROGRAMDATA\BAIDU\SDWS\TMPFILES\BDMREPORT.DLL

sreg

;------------------------autoscript---------------------------

chklst
delvir

bl DBB818775A64AC1FB2DE80C3DB81206B 71496
delref \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BD0001.SYS
del \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BD0001.SYS

bl A6EC8113605DABFA056A4B37D943317F 168264
delref \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BD0002.SYS
del \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BD0002.SYS

bl 9B2E4605B1B6DCC2016C78E1A2D47260 57160
delref \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BD0003.SYS
del \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BD0003.SYS

bl 9325B64AB85ECAD6EF05E5E2ED0716C0 185672
delref \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BD0004.SYS
del \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BD0004.SYS

bl 2816141030AF73E72D2A0FEEB73785CE 145224
delref \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BDARKIT.SYS
del \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BDARKIT.SYS

bl 52F28F6CFEF823B3088249A3D4753EAE 123720
delref \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BDDEFENSE.SYS
del \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BDDEFENSE.SYS

bl 6C7A23D64565591E9BBC204EC3917CAC 26824
delref \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BDFILEDEFEND.SYS
del \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BDFILEDEFEND.SYS

bl 27B8D32FFCE8F7D5B25B1D28E48EE9B4 253000
delref \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BDMWRENCH.SYS
del \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BDMWRENCH.SYS

bl BBDA3ADA739E3807869CF336E13B97F1 67656
delref \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BDSAFEBROWSER.SYS
del \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BDSAFEBROWSER.SYS

bl 59E0587601FF044922A9190CC6C1A67D 139784
delref \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BDSANDBOX.SYS
del \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BDSANDBOX.SYS

bl 30CBC602ADA7CDFB0346038C05996D84 1207520
delref \\?\C:\PROGRAMDATA\BAIDU\SDWS\TMPFILES\BDMREPORT.DLL
del \\?\C:\PROGRAMDATA\BAIDU\SDWS\TMPFILES\BDMREPORT.DLL

;-------------------------------------------------------------

delall %SystemDrive%\PROGRAM FILES\MOVIES TOOLBAR\DATAMNGR\X64\APCRTLDR.DLL
delall %SystemDrive%\PROGRA~1\MOVIES~1\DATAMNGR\MGRLDR.DLL
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\ZHLMIMM.EXE
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\GETNOWUPDATER\BIN\GETNOWUPDATER.EXE
delref 3599716984.PORTAL.QTRAX.COM
delref WWW.BING.COM
areg







-------------

Далее  выполнитt лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/
Выбрать Гипер сканирование*. Отчет предоставить для анализа( в своей теме на форуме ) .
*Если Гипер сканирование не запускается:
Выберите первый вариант сканирования ( Угроза сканирования )
- Отчёт по сканированию нужно представить в .txt ( блокнот )
Похожая проблема!
После открытия архива sapiently.zip, полученого по e-mail от отправителя rethinking@casinarelax.com на компьютере на всех дисках (в том числе сетевых и сменных) были зашифрованы все файлы .doc, .docx, .xls, .xlsx, .zip, .rar, файлы баз 1С и другие. Также их разширение было изменено на .jnysxbn.
Требований злоумышлеников в виде текстовых файлов или заставки на зараженном компьютере обнаружено не было.

Прошу помочь с расшифровкой файлов.
Constantin Vovkotrub

Если у Вас имеется лицензия ESET, обратитесь в техподдержку: support@esetnod32.ru

1) Не пишите в чужой теме.
2) Запрещено выкладывать на сайте вирусы - удалите вложение.
3) Мы можем посмотреть есть активный вирус в системе, или нет и почистить систему от прочего мусора.
Для это создайте свою отдельную тему и выполните:
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
4) В плане САМОСТОЯТЕЛЬНО восстановления файлов: http://forum.esetnod32.ru/messages/forum6/topic2836/message81914/#message81914
Пред. 1 ... 3 4 5 6 7 ... 22 След.
Читают тему (гостей: 1)