файлы зашифрованы с расширением .c400; *.roto; *.tar; *.c300 - Форум технической поддержки ESET NOD32

Сообщений: 4

Баллов: 2

Регистрация: 31.10.2016

Размещено 31.10.2016 15:22:40

Зашифрованы и переименованы файлы.
В архиве пример файла до и после.
В автозагрузке висел ярлык на файл с длинным именем(в архиве)
На рабочем столе пользователя был подозрительный файл (вроде "r" тоже в архиве)

https://drive.google.com/open?id=0ByXD_5BDjv2GblZIZURJU1M3eDg

В техподдержку написал запрос, но что-то долго не приходит в ответ инструкция по дальнейшему общению с ними.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 31.10.2016 16:40:39

@Егор Денисов,
это похоже на RotoCrypt, возможно не безнадежный случай, хотя и неизвестно пока есть расшифровка по нему или нет.
когда было шифрование? есть ли записка или файл о выкупе? если есть такой файл, так же добавьте его на форум.
+
если возможно, сделайте образ автозапуска системы из зашифрованной системы,
можно из безопасного режима системы,
или из под Winpe&uVS

Изменено: santy - 01.11.2016 10:19:01

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 31.10.2016

Размещено 31.10.2016 16:45:45

Цитата
santy написал: @Егор Денисов, это похоже на RotoCrypt, возможно не безнадежный случай, хотя и неизвестно пока есть расшифровка по нему или нет. когда было шифрование? есть ли записка или файл о выкупе? если есть такой файл, так же добавьте его на форум.

Цитата

santy написал:
@Егор Денисов,
это похоже на RotoCrypt, возможно не безнадежный случай, хотя и неизвестно пока есть расшифровка по нему или нет.
когда было шифрование? есть ли записка или файл о выкупе? если есть такой файл, так же добавьте его на форум.

К сожалению такого файла не было. Списывался по адресу почты в имени файла. "Взлом" произошел скорее всего в 0:15 сегодня одного из пользователей сервера(ограниченного), что соответственно привело к заражению файлов( не всех, не успел) в шарах локальных компов, но не самого сервера.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 01.11.2016 07:45:21

кстати да, оба файла с одинаковым хэшем. и являются файлов шифратора.
https://www.virustotal.com/ru/file/bf09d6fc95cf7fd5f44e62e9515cbb5650fc1e544a56624783d8071af7712e23/analysis/1477974362/

так же прописывает свою копию в автозапуск

Цитата
Полное имя C:\DOCUMENTS AND SETTINGS\username\LOCAL SETTINGS\APPLICATION DATA\MOZILLA\NCLUJGPW.EXE Имя файла NCLUJGPW.EXE Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную] Удовлетворяет критериям RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)] Сохраненная информация на момент создания образа Статус в автозапуске [Запускался неявно или вручную] File_Id 54514FCD23000 Linker 7.0 Размер 134656 байт Создан 01.11.2016 в 10:32:21 Изменен 31.10.2016 в 00:15:24 TimeStamp 29.10.2014 в 20:36:29 EntryPoint + OS Version 5.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись проверка не производилась Доп. информация на момент обновления списка SHA1 AF846503643705A6BF9FD8A3CF0CA933CA7049FA MD5 E809C35B5D8C2CECE9A6D895873D98F4 Ссылки на объект Ссылка C:\DOCUMENTS AND SETTINGS\username\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VKVYJETS.LNK Ссылка HKEY_USERS\S-1-5-21-2052111302-1383384898-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\VKvYJeTs VKvYJeTs "C:\Documents and Settings\username\Local Settings\Application Data\Mozilla\nclujgpW.exe" SHORTCUT C:\DOCUMENTS AND SETTINGS\username\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VKVYJETS.LNK

Цитата

Полное имя C:\DOCUMENTS AND SETTINGS\username\LOCAL SETTINGS\APPLICATION DATA\MOZILLA\NCLUJGPW.EXE
Имя файла NCLUJGPW.EXE
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]

Удовлетворяет критериям
RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]

Сохраненная информация на момент создания образа
Статус в автозапуске [Запускался неявно или вручную]
File_Id 54514FCD23000
Linker 7.0
Размер 134656 байт
Создан 01.11.2016 в 10:32:21
Изменен 31.10.2016 в 00:15:24

TimeStamp 29.10.2014 в 20:36:29
EntryPoint +
OS Version 5.0
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась

Доп. информация на момент обновления списка
SHA1 AF846503643705A6BF9FD8A3CF0CA933CA7049FA
MD5 E809C35B5D8C2CECE9A6D895873D98F4

Ссылки на объект
Ссылка C:\DOCUMENTS AND SETTINGS\username\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VKVYJETS.LNK

Ссылка HKEY_USERS\S-1-5-21-2052111302-1383384898-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\VKvYJeTs
VKvYJeTs "C:\Documents and Settings\username\Local Settings\Application Data\Mozilla\nclujgpW.exe"
SHORTCUT C:\DOCUMENTS AND SETTINGS\username\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VKVYJETS.LNK

Изменено: santy - 01.11.2016 10:19:01

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 31.10.2016

Размещено 01.11.2016 09:41:15

И что дальше? Ждать от вас ответа?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 01.11.2016 09:46:12

выполнил тестовое шифрование, попробую отправить файлы в вирлаб.

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 31.10.2016

Размещено 01.11.2016 10:13:03

Хорошо. Буду ждать результата. Спасибо.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 01.11.2016 10:15:46

Цитата
Егор Денисов написал: Хорошо. Буду ждать результата. Спасибо.

замечу, что разработка дешифратора не минутное дело,
как правило если расшифровка возможна, то дешифратор может быть выпущен в течение месяца.

Изменено: santy - 01.11.2016 10:19:01

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 02.11.2016

Размещено 02.11.2016 12:05:39

У меня аналогичный случай, файлы зашифрованы и переименованные как у Вас
[название файла]![email protected]____.c400
но у меня оставили вредоносную программу на компе, могу выложить если поможет, меня тоже интересует возможность дешифровки файлов
вот анализ вируса https://www.virustotal.com/ru/file/bb08cc9cfdfeebf1c55bf72909a0b5feac87494d6d0cbdd25b0e91968258952d/...

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 02.11.2016 12:16:16

видимо, расшифровки не будет по этому варианту Rotocrypt.

[ Как создать образ автозапуска? ]

файлы зашифрованы с расширением .c400; *.roto; *.tar; *.c300 , Rotocrypt

файлы зашифрованы с расширением .c400; .roto; .tar; *.c300 , Rotocrypt