Страницы: 1 2 След.
RSS
файлы зашифрованы с расширением .c400; *.roto; *.tar; *.c300, Rotocrypt
 
Зашифрованы и переименованы файлы.
В архиве пример файла до и после.
В автозагрузке висел ярлык на файл с длинным именем(в архиве)
На рабочем столе пользователя был подозрительный файл (вроде "r" тоже в архиве)

https://drive.google.com/open?id=0ByXD_5BDjv2GblZIZURJU1M3eDg

В техподдержку написал запрос, но что-то долго не приходит в ответ инструкция по дальнейшему общению с ними.
 
@Егор Денисов,
это похоже на RotoCrypt, возможно не безнадежный случай, хотя и неизвестно пока есть расшифровка по нему или нет.
когда было шифрование? есть ли записка или файл о выкупе? если есть такой файл, так же добавьте его на форум.
+
если возможно, сделайте образ автозапуска системы из зашифрованной системы,
можно из безопасного режима системы,
или из под Winpe&uVS
Изменено: santy - 01.11.2016 10:19:01
 
Цитата
santy написал:
@Егор Денисов,
это похоже на RotoCrypt, возможно не безнадежный случай, хотя и неизвестно пока есть расшифровка по нему или нет.
когда было шифрование? есть ли записка или файл о выкупе? если есть такой файл, так же добавьте его на форум.
К сожалению такого файла не было. Списывался по адресу почты в имени файла. "Взлом" произошел скорее всего в 0:15 сегодня одного из пользователей сервера(ограниченного), что соответственно привело к заражению файлов( не всех, не успел) в шарах локальных компов, но не самого сервера.
 
кстати да, оба файла с одинаковым хэшем. и являются файлов шифратора.
https://www.virustotal.com/ru/file/bf09d6fc95cf7fd5f44e62e9515cbb5650fc1e544a566247­83d8071af7712e23/analysis/1477974362/

так же прописывает свою копию в автозапуск

Цитата
Полное имя                  C:\DOCUMENTS AND SETTINGS\username\LOCAL SETTINGS\APPLICATION DATA\MOZILLA\NCLUJGPW.EXE
Имя файла                   NCLUJGPW.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске [Запускался неявно или вручную]
File_Id                     54514FCD23000
Linker                      7.0
Размер                      134656 байт
Создан                      01.11.2016 в 10:32:21
Изменен                     31.10.2016 в 00:15:24
                           
TimeStamp                   29.10.2014 в 20:36:29
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               проверка не производилась
                           
Доп. информация             на момент обновления списка
SHA1                        AF846503643705A6BF9FD8A3CF0CA933CA7049FA
MD5                         E809C35B5D8C2CECE9A6D895873D98F4
                           
Ссылки на объект            
Ссылка                      C:\DOCUMENTS AND SETTINGS\username\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VKVYJETS.LNK
                           
Ссылка                      HKEY_USERS\S-1-5-21-2052111302-1383384898-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\VKvYJeTs
VKvYJeTs                    "C:\Documents and Settings\username\Local Settings\Application Data\Mozilla\nclujgpW.exe"
SHORTCUT                    C:\DOCUMENTS AND SETTINGS\username\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VKVYJETS.LNK
Изменено: santy - 01.11.2016 10:19:01
 
И что дальше? Ждать от вас ответа?
 
выполнил тестовое шифрование, попробую отправить файлы в вирлаб.
 
Хорошо. Буду ждать результата. Спасибо.
 
Цитата
Егор Денисов написал:
Хорошо. Буду ждать результата. Спасибо.
замечу, что разработка дешифратора не минутное дело,
как правило если расшифровка возможна, то дешифратор может быть выпущен в течение месяца.
Изменено: santy - 01.11.2016 10:19:01
 
У меня аналогичный случай, файлы зашифрованы и переименованные как у Вас
[название файла]!_____LIKBEZ77777@GMAIL.COM____.c400
но у меня оставили вредоносную программу на компе, могу выложить если поможет, меня тоже интересует возможность дешифровки файлов
вот анализ вируса https://www.virustotal.com/ru/file/bb08cc9cfdfeebf1c55bf72909a0b5feac87494d6d0cbdd2­5b0e91968258952d/...
 
видимо, расшифровки не будет по этому варианту Rotocrypt.
Страницы: 1 2 След.
Читают тему (гостей: 1)