зашифровано с расширением id-*_paycrypt@aol.com* , возможно, Filecoder.DG

RSS
Всем привет. 2.01.16 прилетело сие чудо - id-7063414822790367-paycrypt@aol.com.
Первый раз увидел такого типа вирус - создает 2 файла, первый содержит имя оригинала и текст {75B6FD42-3SKE-818D-9865-3YTA2892536Y}.id-7063414822790367-paycrypt@aol.com , второй - имя оригинала и  .id-7063414822790367-paycrypt@aol.com.
В инете тишина про него. Есть ли какая информация у вас?

Я понимаю, что тут, как и на любом форуме антивирусных компаний помогают с расшифровкой только при наличии лицензии, НО, если оно все таки есть, готовы приобрести 20 корпоративных. Лишний раз платить кому то за пустые надежды не хочу.

Зараженные файлы: ТЫК пароль 123
Полный образ автозапуска.  ТЫК

Ответы

Также поймали такую гадость 2 января (  интересно, это через запуск вложения из почты произошло или иначе ? (я не сисадмин). И стоит ли перечислять мошенникам деньги или это кидалово? Также вопрос, будет ли дешифратор общий для всех или для каждой атаки он уникальный? Спасибо.
Цитата
Евгений Купреев написал:
Также поймали такую гадость 2 января (  интересно, это через запуск вложения из почты произошло или иначе ? (я не сисадмин). И стоит ли перечислять мошенникам деньги или это кидалово? Также вопрос, будет ли дешифратор общий для всех или для каждой атаки он уникальный? Спасибо.
Если у вас действительно такой же шифровальщик, то заражение происходит путем подбора паролей удаленного доступа и ручного запуска шифровальщика на вашем компьютере (сервере).
Поэтому если у вас настроен удаленный доступ к компьютеру, то поменяйте все пароли пользователей.
Расшифровкой занимается техподдержка, поэтому если у вас есть лицензия на антивирус ESET пишите на support@esetnod32.ru
На форуме вам могут помочь с удалением остатков вируса, если вы предоставите образ автозапуска системы.
Добрый день, на сервер компании как-то попал вирус-шифровальщик, который зашифровал большинство файлов в таком формате http://c2n.me/3u3HALp (зашифровались pdf, xls, xlsx, базы 1С).
Основной файл содержит следующий текст {72N6FD42-3SKE-818D-9865-3YAH2897396Y}.id-2004805086806637-paycrypt@aol.com
Скорее всего попал через одного пользователя, у него в папке C:\Users\1C\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup создан файл-картинка http://c2n.me/3u3IbZV и картинка фона рабочего стола такая же.

Лицензия имеется, в техподдержку написал, обращение зарегистрировано под номером 1074165

Образ автозапуска прилагаю
Изменено: Денис Мережников - 13.06.2016 16:06:01
Денис,
поищите среди удаленных этот файл
C:\USERS\20D3~1\APPDATA\LOCAL\TEMP\89\ASHBWHGOGIVNSNMLM.EXE

по очистке системы выполните:

- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v385c
OFFSGNSAVE
zoo G:\JSYJVXNM.BAT
addsgn 988C1FF2342A4C9A74D7AEB1DB5C120525013B1E0AEA1F780CA62D37A45F4F1ADC02B7377E5516073B09895F855049713BDB4BBE969CB0A77B7F2D3A17C56473 8 policies.0225

zoo G:\TEMZNRJKVQ.BAT
zoo G:\LYIXNTNQDAIV.BAT
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\ДЕН\APPDATA\LOCAL\TEMP\{4BA9B26E-4670-4C21-A7CD-D10DABC21097}\{147CDBFE-A00A-43EB-9724-0A6211BFEF26}.TMP

delref %SystemDrive%\USERS\20D3~1\APPDATA\LOCAL\TEMP\89\ASHBWHGOGIVNSNMLM.EXE

deltmp
delnfr
;-------------------------------------------------------------

quit

без перезагрузки, пишем о старых и новых проблемах.
------------
Файла нигде нет. Все выполнил. Как восстановить зашифрованные файлы?
Денис Мережников,
по расшифровке напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
Зашифрованы файлы расширение .id-9849062729019881-paycrypt@aol.com требований не выдвигалось.
Зашифрованы DOC DOCX XLS XLSX DBF
Остается основной файл с вот таким содержимым {72N6FD42-3SKE-818D-9865-3YAH2897396Y}.id-9849062729019881-paycrypt@aol.com и появляется рядом шифрованный файл с расширением paycrypt@aol.com
Установлен лицензионный антивирус.
Просим помощи в дешифровке.
Сергей,
добавьте образ автозапуска,
как сделать, смотрите в подписи.
Образ автозапуска
Сергей,
по образу все чисто.
по расшифровке документов напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
Читают тему (гостей: 1)