зашифровано с расширением id-*_paycrypt@aol.com* , возможно, Filecoder.DG

RSS
Всем привет. 2.01.16 прилетело сие чудо - id-7063414822790367-paycrypt@aol.com.
Первый раз увидел такого типа вирус - создает 2 файла, первый содержит имя оригинала и текст {75B6FD42-3SKE-818D-9865-3YTA2892536Y}.id-7063414822790367-paycrypt@aol.com , второй - имя оригинала и  .id-7063414822790367-paycrypt@aol.com.
В инете тишина про него. Есть ли какая информация у вас?

Я понимаю, что тут, как и на любом форуме антивирусных компаний помогают с расшифровкой только при наличии лицензии, НО, если оно все таки есть, готовы приобрести 20 корпоративных. Лишний раз платить кому то за пустые надежды не хочу.

Зараженные файлы: ТЫК пароль 123
Полный образ автозапуска.  ТЫК

Ответы

Да, и зашифрованные файлы и картинки похожи.
Ну значит в любом случае - в техподдержку  
Цитата
Есть ли какая информация у вас?
Trojan.Encoder.741  
Михаил
Самое обидное, никаких следов, кроме картинки от него не осталось... кстаи, гады :evil:  просят 2 биткоина....
Так же обнаружил пару файлов удаленных в папке system32 - ссылка возможно помогут для анализа
Цитата
Евгений Афанасьев написал:
Так же обнаружил пару файлов удаленных в папке system32 -  ссылка  возможно помогут для анализа
Вам нужно пытаться восстановить этот файл.
Цитата
Цитата
Полное имя                  C:\USERS\BUH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{75B6FD42-3SKE-818D-9865-3YTA2892536Y}.EXE
Цитата
Имя файла                   {75B6FD42-3SKE-818D-9865-3YTA2892536Y}.EXE
Цитата
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Цитата
                           
Цитата
Удовлетворяет критериям    
Цитата
CURRENTVERSION.RUN          (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
Цитата
                           
Цитата
Сохраненная информация      на момент создания образа
Цитата
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Цитата
Инф. о файле                Не удается найти указанный файл.
Цитата
Цифр. подпись               проверка не производилась
Цитата
                           
Цитата
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Цитата
Путь до файла               Типичен для вирусов и троянов
Цитата
                           
Цитата
Ссылки на объект            
Цитата
Ссылка                      HKEY_USERS\S-1-5-21-4169356517-2588050924-2036696651-1139\Software\Microsoft\Windows\CurrentVersion\Run\{75B6FD42-3SKE-818D-9865-3YTA2892536Y}
Цитата
{75B6FD42-3SKE-818D-9865-3YTA2892536Y}C:\Users\buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{75B6FD42-3SKE-818D-9865-3YTA2892536Y}.exe
Михаил
Перерыл все и всем, включая R-Studio и железки от них. Не видит этот файл. Хоть убейте....
Значит злодей не дурак и шредером его похоже удалил.  
Михаил
Поймал такую же пакость, решение есть?
http://rghost.ru/8vDVvgrkm - образ автозапуска
Виктор,
tnod используем, поэтому (по правилам нашего форума) помощь в очистке системы не будет оказана.
обратитесь за помощью на другой форум.
C:\USERS\ARTIST\DESKTOP\TNOD-1.4.2.3-FINAL-SETUP.EXE
santy, TNOD я использовал очень давно, сейчас не пользуюсь. Просто я не удаляю всякий хлам с компьютера, вдруг когда нибудь для чего нибудь пригодится.  
Читают тему (гостей: 1)