[ Закрыто ] $ CRYPTED! , возможно, filecoder.NGQ

RSS
Здравствуйте!
По почте получили письмо с вложением

 УВЕДОМЛЕНИЕ О НАЧАЛЕ ВЗЫСКАНИЯ ДОЛГА
Согласно постановлению суда, мы начинаем процедуру взыскания долга в сумме 1 129 016,60 рублей . Долг будет взыскан путем проведения претензионной работы, обращения в Арбитражный суд, заключения мирового соглашения, получения Исполнительного листа на принудительное взыскание долга, списания части долга с расчетного счета должника и получения остатка долга путем переговоров.Более подробно  см.в прикреплённых документах.
 Зам.директора ЮРКОЛЛЕГИИ   В.А.Емельяненко

Вложенный файл проверили Eset NOD32 Smart Security 4, ничего не нашел.
После открытия зашифровались документы, фото и т.д.
В каждой папке появился текстовый файл

ПРИПЛЫЛИ ГОСПОДА !
Бонжур ! Мы приветствуем вас на борту нашего"Весёлого Роджера".
Ваш компьютер взят на абордаж командой Нигерийских пиратов.
Ваши файлы зашифрованы нашим морским криптографом
Джо Вазонезом..
Если вы, нежадный пипл и не психованный типок  из ЛДПР,
то, мы готовы обменять вашу драгоценную инфу, на жалкие
бумажки именуемые деньгами.
Поверьте, деньги зло - отдайте их нам.
Алчных  и  неадекватных типов за борт.
Весёлым и находчивым скидки.
Членам Единой России тройная цена - столько  натырили,
совести у них нет.
Для переговоров  собираемся в кают компании, sos на мыло.
Номер  компании  71541113
RODGER@DIPLOMATS.COM

Прикрепляю файл с вирусом и закодированный файл.

Ответы

Максим.txt, Вы писали в ТП?
ESET Technical Support
Цитата
Валентин пишет:
ТП
Куда?
Техническую поддержку?
Изменено: Максим.txt - 27.04.2012 13:16:02
Цитата
Максим.txt пишет:
Куда?
http://forum.esetnod32.ru/messages/forum35/topic5383/message41853/#message41853
Предположительно после открытия присланного по почте вложенного файла закодировались офисные документы и фотографии. Добавилось расширение .$ и описание $ CRYPTED! и текстовик про веселого роджера в каждой папке.
Номер  компании  71541140

Прилагаю примеры зашифрованного и исходного файлов, логи сисинспектора и хайджек, текстовик с посланием.
Изменено: Exlibris - 19.12.2016 05:46:46
нужен вот этот файл: C:\DOCUME~1\USTIME~2.SCH\LOCALS~1\Temp\uAxdqDV4VK2S0fe.exe
Правильно заданный вопрос - это уже половина ответа
Цитата
Арвид пишет:
нужен вот этот файл: C:\DOCUME~1\USTIME~2.SCH\LOCALS~1\Temp\uAxdqDV4VK2S0fe.exe
Recuva и GetDataBack его не нашли. В принципе письмо я сохранил, если на виртуалке попробовать заразить, поможет?
Конечно же нет. Письмо на почте - это не сам шифровальщик - то троян для удаленного подключения к вашей машине. Шифровальщик уже со временем вам кидают и запускают на исполнение.
Посмотрите нет ли этого файла в карантине антивируса.
Правильно заданный вопрос - это уже половина ответа
Нет, карантин пустой (
Ждите ответа модератора. Но боюсь что без самого шифровщика ничего не получится. Пока не торопитесь руки опускать - бывает что выпускают универсальные дешифраторы, возможно они вам помогут.
Правильно заданный вопрос - это уже половина ответа
Возможно в первом посте не совсем идентичные фалы выложил, вот точно одинаковые

http://zalil.ru/33163442
пароль: Virus
Читают тему (гостей: 2)