зашифровано с расширением *id-*_protectdata@inbox.com , Filecoder.DG / Encoder.741

RSS
Получили по электронной почте письмо якобы повестка в суд ссылкой на то, что почту нашу нашли на едином портале государственных услуг, не осторожный специалист поверил и открыл архив, все файла на компьютере и сервере теперь зашифрованы и после расширения файла например: .dos дописано .id-7879484469_protectdata@inbox. Написала в техподдержку ESET NOD часов 5 назад, ответа нет

Ответы

1. по очистке системы от банера шифратора выполните скрипт

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\VIKA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FOXMAIL.BMP
delall %SystemDrive%\USERS\VIKA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FOXMAIL.BMP
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------

2. у вас два установленных антивируса: AVG и корпоративный Касперский. один из них (скорее всего AVG лучше деинсталлировать)

3. обратитесь в любой из трех вирлабов: ESET NOD32, Касперский, Дрвеб.
однако имейте ввиду, что помощь в расшифровке возможно вам будет оказана только при наличии лицензии на антивирус.
по *protectdata@inbox.com возможно есть расшифровка в DrWeb
Спасибо, завтра попробуем.На этом компьютере как раз Nod32 и не стоит.. Не подскажете как на вирлаб DrWeb'a выйти? И точно ли нельзя решить вопрос через вирлаб Nod'a, так как корпоративная лицензия у нас только на него имеется.
выйдите на сайт ДрВеб, там все найдете. по расшифровке в ESET не могу сказать точно есть расшифровка или нет. Надо уточнить в техподдержке, кто занимается расшифровками файлов.
На данный момент есть дешифратор?
Артём Кухаренко,каждый случай разбирается индивидуально. Вы так и не выполнили инструкции Santy.
ESET Technical Support
Пришла зараза..файлы зашифровались, NOD32 пропустил заразу и сработал через некоторое время.

Файлы все оказались зашифрованы... часть на диске "C" восстановил с
помощью ShadowExplorer, но на внешнем носителе данные тоже
зашифровывались

ЕСТЬ РЕШЕНИЕ ?

КОНТАКТОВ ВИРУС НЕ ОСТАВИЛ ...

24/06/2015

ОБРАЗ
Цитата
santy написал:
добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/
Изменено: Валентин - 18.06.2017 15:11:51
1. по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ОЛЕГ ГУЩИН\APPDATA\ROAMING\DEFAULTTAB\DEFAULTTAB\DTUPDATE.EXE
addsgn 1A47239A5583C58CF42B254E3143FE84C9A2FFF6895967DAC4C34CB12474304CAA02B3F57F5514544722C59FCF2321583CDF614F3178F12C4BFBB1BF65472215 8 Adware.Plugin.48 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\ASSETS MANAGER\SMDMF\SMDMFSERVICE.EXE
addsgn 1A48D89A5583C58CF42BC4A10C58896B25625A7289FA2CB80C862535152AF809C79C86B305108D34380BF197CDD8B6AF69DC9D7EDCAFB8D368934FCA0043C272 8 SearchSuite.D [ESET-NOD32]

zoo %SystemDrive%\USERS\ALL USERS\DTDATA\R002.EXE
addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6614423947EDF3A559D49A21D0C9B4616467FB6DCE872D85F24282D77F4D052AF2D73 32 adobe

zoo %SystemDrive%\PROGRAM FILES (X86)\SMARTERPOWER\SMARTERPOWERBHO.DLL
addsgn A7679B1928664D070E3CEF3C64C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D0D7928906C22471649C9BD9F6307595F4659214E916BBF05327C 64 Win32/BrowseFox.O [ESET-NOD32]

zoo %SystemDrive%\USERS\ALL USERS\DL159\159.DLL
addsgn 79132211B9E9317E0AA1AB5990961205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5A86CA414031E1FAD17D7B1CCCD49B13CA00A44DC628F678B 64 AdWare.Win32.BHO.beso [Kaspersky]

zoo %SystemDrive%\USERS\ОЛЕГ ГУЩИН\DOWNLOADS\UNIFI-INSTALLER.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BCC38506CA82 59 Win32/Adware.ConvertAd.AQ [ESET-NOD32]

zoo %SystemDrive%\USERS\ОЛЕГ ГУЩИН\UBIQUITI UNIFI\UNINSTALL.EXE
delall %SystemDrive%\USERS\ОЛЕГ ГУЩИН\APPDATA\ROAMING\QIPGUARD\QIPGUARD.EXE
delall %SystemDrive%\USERS\ОЛЕГ ГУЩИН\APPDATA\ROAMING\SETTINGS MANAGER\SETTINGSMANAGER.EXE
hide M:\00 ЛИЧНОЕ\SETUP_11.0.0.1245.X01_2013_03_14_20_35.EXE
hide J:\FREEMAKEVIDEOCONVERTERSETUP.EXE
hide %SystemDrive%\USERS\ОЛЕГ ГУЩИН\DOWNLOADS\QIP2012.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\DOWNLOAD MASTER\DMASTER.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\PLUGINS\EXE\DECRYPTC.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILS\RANSOMHIDE\RANSOMHIDE.EXE
addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6914D23947EDF3A559D49A21D0C9B4616467FB6DCE872D85F24282D77F4D052AF2D73 8 Adware.Plugin.971 [DrWeb]

zoo %SystemDrive%\USERS\ALL USERS\DTDATA\R001.EXE
zoo %SystemDrive%\USERS\ALL USERS\DTDATA\R003.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-CODEDOWNLOADER.EXE

delref STATS.SRVSTATSDATA.COM

delref ERRORS.SRVSTATSDATA.COM

delref APP-STATIC.CROSSRIDER.COM

delref HTTP://UPDATE.SRVSTATSDATA.COM/IE_CODE_AGENT_UPDATES/{CAMP_ID}/UPDATE.JSON'

delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-FIREFOXINSTALLER.EXE

delref E0F95096-9ACD-4757-84D1-31900A5C8D72@100E8646-48F8-43C0-A36F-583295B2EABE.COM

delref HTTPS://W9U6A2P6.SSL.HWCDN.NET/PLUGIN/FF/UPDATE/48930.RDF

delref HTTP://UPDATE.SRVSTATSDATA.COM/FF_AGENT_UPDATES/{CAMP_ID}/UPDATE.JSON'

delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-UPDATER.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-VALIDATOR.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\UNINSTALL.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-BHO64.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-BHO.DLL

deldirex %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE

delref {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47}\[CLSID]

deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\125

delref HTTP://WWW.QIP.RU/

; Defaulttab
exec  C:\Windows\system32\config\systemprofile\AppData\Roaming\defaulttab\defaulttab\uninstalldt.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

2. по расшифровке документов при наличие лицензии на наш антивирус обратитесь в техподдержку на адрес support@esetnod32.ru
Изменено: santy - 30.06.2015 12:13:27
Цитата
Олег МСК написал:
ОБРАЗ
Цитата
santy   написал:
добавьте образ автозапуска системы
 http://forum.esetnod32.ru/forum9/topic2687/  
Обращался в NOD32 лицензия есть EAV-0142624018
Отправил им чистые и зараженные файлы, для понимания изменений.
Отправил тело вируса.

ОТВЕТ :
Здравствуйте.К сожалению, мы не сможем подобрать дешифратор для данного случая. Файлы зашифрованы с помощью Filecoder.DG, расшифровка без знания ключа шифрования, индивидуального для каждого случая, не возможна.

Мы рекомендуем Вам создать резервную копию зашифрованных файлов на случай, если в дальнейшем нам всё же удастся подобрать дешифратор (если это произойдёт, мы свяжемся с Вами), а также ознакомиться со следующей статьёй для уменьшения риска повторного заражения в дальнейшем:

http://www.esetnod32.ru/support/knowledge_base/solution/?IBLOCK_ID=53&SECTION_ID=1782&ELEMENT_ID=853007

Приносим свои извинения.
С уважением,
Николай Годельшин
Служба технической поддержки ESET Russia
Изменено: Олег МСК - 30.06.2015 13:03:49
по очистке системы:
по логу мбам:

2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991
---------

в данное время в системе не установлен антивирус, поэтому при активной работе в сети, можете наступить на те же грабли,
семейство шифраторов все время пополняется (питаясь образно говоря, денежной кровью беспечных юзеров) и обновляется, адаптируется в средствам защиты,
поэтому если есть лицензия, то надо ее использовать и установить антивирусную программу.
Изменено: santy - 30.06.2015 13:12:09
Цитата
в данное время в системе не установлен антивирус, поэтому при активной работе в сети, можете наступить на те же грабли,
семейство шифраторов все время пополняется (питаясь образно говоря, денежной кровью беспечных юзеров) и обновляется, адаптируется в средствам защиты,
поэтому если есть лицензия, то надо ее использовать и установить антивирусную программу.
Изменено: santy - 30.06.2015 13:12:09
АНТИВИРУС NOD32
Изменено: Олег МСК - 30.06.2015 15:27:41
Читают тему (гостей: 18)