зашифровано с расширением id-*_foxmail@inbox.com , Filecoder.DG

Мой компьютер при непонятных для меня условий, поймал вирус 1.doc.id-3042735761_foxmail@inbox, который зашифровал мои файлы (документы, базы данных, бэкапы и другие файлы), причем только в одном конкретном месте на диске D:\\Мои документы все документы в этой папки и вложенных в нее папок  были зашифрованы. Помогите мне пожалуйста есть ли возможность расшифровать данные документы, вкладываю к данному письму пару зашифрованных файлов заранее спасибо Алексей.

Р.S. Злоумышленники оставили следующее сообщение «Внимание! Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом. Вся Ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована. Все зашифрованные файлы имеют расширение id Ни в коем случае не изменяйте файлы! И не используйте чужие дешифраторы, Вы можете потерять Ваши файлы навсегда. Напишите нам письмо на адрес foxmail@inbox.com, чтобы узнать как получить дешифратор. Если мы Вам не ответили в течении 3 часов – повторите пересылку письма на email@шindia1.ccв письме напишите номер idВ первом письме не прикрепляйте файл для дешифровки. Все инструкции вы получите в ответном письме »
Изменено: Алексей Вахрушев - 18.11.2016 07:31:40
Для помощи в подборе дешифратора обратитесь сюда: support@esetnod32.ru
ESET Technical Support
Спасибо в техподдержку Nod32 уже направил письмо пока молчат! По телефону сказали, что может уйти от недели до 2-х месяцев, хотелось бы побыстрее.
Алексей Вахрушев,повлиять на это мы увы не можем. Вся зависит от сложности алгоритмов шифрования.
ESET Technical Support
есть уже тут темы с таким шифровальщиком. я так понял, модификация совсем новая. то ли сложно детектируется, а может и совсем не детектируется пока. полезно же будет поделиться опытом

моя история печальная в крайней степени
один из пользователей сети предприятия обратился с проблемой - перестали открываться рабочие файлы в папке на сервере
стал смотреть - расширения файлов сменились на ненавистные теперь id-**********_foxmail@inbox. com
шифровальщик детектед. запустили поиск по этому расширению по сети - стал обнаруживаться на всех подряд компьютерах.
единственное решение, которое пришло в голову - среди рабочего дня отключить питание у всех сетевых устройств предприятия. как показало время - верное решение.

в итоге имею зашифрованные файлы на сетевых ресурсах около 20 (из 100) компьютеров и пары серверов. компьютеры шифровались в алфавитном порядке.
действие шифратора прекратилось с отключением питания сети (видно по времени изменения файлов). шифровались doc, xls, jpg, rar, pdf, dbf.
за 2 часа работы сотни тысяч файлов!! потрясная производительность. браво. о том, что много было крайне критично, даже не говорю.

за выходные протестил все компьютеры. везде последняя корпоративная версия nod с обновленными базами. в логах на эту дату чисто. в карантине ничего настолько опасного.
нигде никаких следов тела вируса.
конечно, вопросы к есэту возникают, но, судя по сообщениям, эту дрянь не остановил ни каспер, ни доктор вэб.

судя по всему, кто-то из пользователей получил письмо с предложением пройти по ссылке, получил страшное сообщение о заражении, испугался, все закрыл и подчистил следы.
шифратор втихую работал, пока другой пользователь не забил тревогу. вот такая грустная история.
ни на одном компе нет зашифрованных файлов, кроме как в расшаренных ресурсах. найти компьютер-источник и нерадивого пользователя я так и не смог.

техподдержка  запросила примеры зашифрованных файлов и тело вируса. тела я так и не нашел, отправил только шифрованные. присвоили номер обращению и на том спасибо.
для прикола отправил на адрес foxmail@inbox. com письмо с текстом "проверка связи". в ответ получил :
Стоимость дешифратора
0.5 биткоин
курс и купить  здесь...
Пополнить кошелёк биткоин   ***************************************

в связи с чем хотелось бы пообщаться:
- как найти источник проникновения в сеть?
- можно ли было его предотвратить?
- как не допустить повторения истории?
- есть ли шанс на расшифровку?
- кто-нибудь платил за расшифровщик?

учитывая, что распространение началось совсем не давно, думаю в этой теме будут еще неравнодушные. хотя такой дряни не пожелаю никому.
помогайте, кто чем может. финансовая отчетность предприятия и мое дальнейшее пребывание админом в нем на волоске =))

ps только про резервное копирование не нужно писать))
Изменено: Уверенный - 17.06.2016 10:53:58
1) Источник скорее всего письмо и общие сетевые ресурсы.
2) Предотвратить _ теоретически можно.
Это работа с HIPS или так: http://forum.esetnod32.ru/messages/forum8/topic10494/message75282/#message75282
( XXX.jpg   в  XXX.log )
Но практически вам эти варианты не понравятся.
3) Так же как и 2)
+ Профилактическая работа с персоналом фирмы - объяснить что такое расширение файлов; Включить показ расширений файлов; объяснить какие шаги следует немедленно предпринять если появилось подозрение.
Прежде чем открыть файл письмо проверять его здесь: https://www.virustotal.com/  ( если письмо не содержит конфиденциальной информации )
-------
Вирус можно попробовать найти.
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
Сделайте образ на двух-трёх проблемных машинах.
 
Изменено: RP55 RP55 - 17.06.2016 10:53:58
на других компах шифровались только расшаренные ресурсы?
если да, значит запуск шифратора был скорее всего с одной машины.

проверьте в свойствах зашифрованных файлов кто является владельцем зашифрованного файла.
возможно, там будет имя (логин) пользователя той системы, с которой был запуск шифратора.

проверьте его почту (в том числе и корзину) , возможно осталось письмо с вредоносным вложением,

пишут собратья по несчастию

Цитата
Случилось это 16.12.2014, у всех файлов одна дата изменения и время в периоде с 13:00 до 15:00. Причем шифровал в хаотичном порядке, в
некоторых шарах зашифровал все, а в некоторых только часть. В этот день только один ПК повел себя странно, завис напрочь, ни на что не
реагировал только ребут помог, как раз где то после трех, видимо это вирус и остановило и именно на этом ПК нашелся файл, загруженный из
почты с именем  akt_priema_vipolnenih_rabot.exe,
Изменено: santy - 17.06.2016 10:53:58
Цитата
santy написал:
на других компах шифровались только расшаренные ресурсы?
если да, значит запуск шифратора был скорее всего с одной машины.

проверьте в свойствах зашифрованных файлов кто является владельцем зашифрованного файла.
возможно, там будет имя (логин) пользователя той системы, с которой был запуск шифратора.

проверьте его почту (в том числе и корзину) , возможно осталось письмо с вредоносным вложением,

пишут собратья по несчастию
Цитата
Случилось это 16.12.2014, у всех файлов одна дата изменения и время в периоде с 13:00 до 15:00. Причем шифровал в хаотичном порядке, в
некоторых шарах зашифровал все, а в некоторых только часть. В этот день только один ПК повел себя странно, завис напрочь, ни на что не
реагировал только ребут помог, как раз где то после трех, видимо это вирус и остановило и именно на этом ПК нашелся файл, загруженный из
почты с именем  akt_priema_vipolnenih_rabot.exe,

к сожалению, информацию о владельце шифратор никак не изменял.

еще интересно - среди пострадавших систем Windows XP x32 и Windows Server 2003 R2 x64
в сети еще были Windows XP x64, Windows 7 x64 - они не пострадали
может совпадение, а может и нет
Цитата
Уверенный написал:
- есть ли шанс на расшифровку?

Есть, для этого обратитесь в техподдержку: support@esetnod32.ru
ESET Technical Support
Алексей подскажите пожалуйста удалось ли расшифровать файлы ?
Читают тему (гостей: 1)