Страницы: 1 2 След.
RSS
файлы зашифрованы с расширением __AiraCropEncrypted!, NMoreira
 
Здравствуйте такая проблема :
каждый файлик  лежащий на жёстком диске имеет подпись ".__AiraCropEncrypted!" после расширения файла и рядом лежит текстовый документ How to decrypt your files в котором
Encrypted Files!

All your files are encrypted. Using encryption AES256-bit and RSA-2048-bit.

Making it impossible to recover the files without the correct private key.

If you are interested in getting is key, and retrieve your files

visit one of the link and enter your key;

https://6kaqkavhpu5dln6x.onion.to/

https://6kaqkavhpu5dln6x.onion.link/

https://mvy3kbqc4adhosdy.onion.to/

https://mvy3kbqc4adhosdy.onion.link/

Alternative link:

http://6kaqkavhpu5dln6x.onion

http://mvy3kbqc4adhosdy.onion

To access the alternate link is mandatory to use the TOR browser available on the link

https://www.torproject.org/download/download

Key:

D0809D7FF155EDB518345504C73B507C7A57E23B60D17DEE9F54C27D7143­B3B7


Вот сами файлы

https://cloud.mail.ru/public/HcgU/439QmUCYR

https://cloud.mail.ru/public/Mhhg/2iTRvVgVt
Изменено: POUL UILIAMSON - 02.01.2017 05:48:47
 
Что-то часто Вы болеете шифровальщиками.  
Михаил
 
@POUL UILIAMSON,
источник заражения есть? вредоносное вложение в почте или ссылка в сети.
+
добавьте образ автозапуска из зашифрованной системы.
 
Доброго дня вот образ автозапуска http://rgho.st/6PqwLx9Gt
письмо попробую восстановить удалил попозже будет возможность скину !
Я админю несколько офисов в которых очень жадные директора из за чего теперь и страдают бухгалтера и  сами же директора! вся бухгалтерия закодированна!
Изменено: POUL UILIAMSON - 28.10.2016 12:59:03
 
по образу:
этот файл вам известен?
судя по ссылкам - нежелательный файл.
https://malwr.com/analysis/N2VjMjFhYjkwODRkNDJhNmEyNjljYWZiODU5YzAyZjI/
https://www.herdprotect.com/qq123.exe-51c06e49e1c8ee61f93e8a2d27f5369612309c60.aspx

Цитата
Полное имя                  C:\WINDOWS\FONTS\QQ123.EXE
Имя файла                   QQ123.EXE
Тек. статус                 ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Статус                      ВИРУС
Сигнатура                   debug [глубина совпадения 64(64), необх. минимум 8, максимум 64]
                           
www.virustotal.com          2016-10-27
-                           Файл был чист на момент проверки.
                           
Удовлетворяет критериям    
IMAGE FILE EXECUTION.EXE    (ССЫЛКА ~ \IMAGE FILE EXECUTION OPTIONS\)(1)   OR   (ССЫЛКА ~ .EXE\DEBUGGER)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id                     4FD34D7533000
Linker                      9.0
Размер                      99064 байт
Создан                      14.10.2016 в 11:55:55
Изменен                     08.05.2013 в 02:29:38
Атрибуты                    СКРЫТЫЙ  СИСТЕМНЫЙ  
                           
TimeStamp                   09.06.2012 в 13:19:49
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя            WINRAR.SFX
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Тип запуска                 Неизвестный отладчик приложения(ий)
Атрибут файла               "Скрытый" или "Системный" [типично для вирусов]
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
SHA1                        51C06E49E1C8EE61F93E8A2D27F5369612309C60
MD5                         C4D0C458DCE6B802EA946A857FA2EA12
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe\Debugger
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe\Debugger
Изменено: santy - 28.10.2016 13:26:47
 
по образу, кроме этого файле больше нет подозрительных файлов.
возможно подключились из внешней сети.

здесь еще будет инфо по данному шифратору
http://id-ransomware.blogspot.ru/2016/10/airacrop-ransomware.html

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
ZOO %SystemRoot%\FONTS\QQ123.EXE
delall %SystemRoot%\FONTS\QQ123.EXE
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
Изменено: santy - 28.10.2016 14:57:29
 
я так понимаю данный скрипт удалит червя но проблему с закодированнными файлами не решит?  
 
да, это скрипт очистки системы.
по расшифровке файлов непонятно, что это за тип шифратора.
нужен файл шифратора.
 
есть какие идеи как его достать?  
 
проверьте наличие точек восстановления на момент шифрования, так же выполните поиск среди удаленны файлов на момент шифрования с помощью R-studio, getdataback
Страницы: 1 2 След.
Читают тему (гостей: 1)