Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

зашифровано с расширением id-*[email protected] , возможно, Filecoder.DG

1 2 След.
RSS
 
Павел Коростелев
Павел Коростелев
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 11.12.2015
Размещено 11.12.2015 10:01:25
Добрый день!
Поймали шифровальщик от [email protected]. К зашифрованным файлам дописывается расширение [email protected]. Образ автозапуска и зашифрованный файл прикрепил к сообщению.
Есть ли возможность восстановить информацию?
Изменено: Павел Коростелев - 20.06.2017 06:45:00
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.12.2015 10:37:55
Павел,
образ чистый,

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
 
Павел Коростелев
Павел Коростелев
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 11.12.2015
Размещено 11.12.2015 10:50:05
А вот этот? Это с другого компьютера, но фифратор помоему тот же. И похоже с него началось шифрование и по сети передалось на первый, т.к. время на этом 6:58, а на HP350 7:11.
Изменено: Павел Коростелев - 11.12.2015 10:51:01
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.12.2015 11:44:13
это подозрительная запись, возможно от шифратора, хотя самого файла сейчас уже нет


Полное имя                  C:\USERS\AUDITOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{39B6FD42-8SKE-838D-9875-3YTA2897936Q}.EXE
Имя файла                   {39B6FD42-8SKE-838D-9875-3YTA2897936Q}.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Ссылки на объект            
Ссылка                      HKLM\egaxecyom\Software\Microsoft\Windows\CurrentVersion\Run­\{39B6FD42-8SKE-838D-9875-3YTA2897936Q}
{39B6FD42-8SKE-838D-9875-3YTA2897936Q}C:\Users\auditor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{39B6FD42-8SKE-838D-9875-3YTA2897936Q}.exe
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.12.2015 11:45:43
да, скорее всего это было тело шифратора, потмоу что вот этот файл является скорее всего файлом заставки

Полное имя                  C:\USERS\AUDITOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{39B6FD42-8SKE-838D-9875-3YTA2897936Q}.BMP
Имя файла                   {39B6FD42-8SKE-838D-9875-3YTA2897936Q}.BMP
Тек. статус                 в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Размер                      614654 байт
Создан                      10.12.2015 в 07:21:11
Изменен                     10.12.2015 в 07:21:11
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
SHA1                        8C59DF408CA3A1E7F51209F7EF3C73F9FE403B07
MD5                         AA48366134FBF6F44C28C588A65B739F
                           
Ссылки на объект            
Ссылка                      C:\USERS\AUDITOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.12.2015 11:47:40
по второму образу:
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %SystemDrive%\USERS\AUDITOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{39B6FD42-8SKE-838D-9875-3YTA2897936Q}.EXE
delall %SystemDrive%\USERS\AUDITOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{39B6FD42-8SKE-838D-9875-3YTA2897936Q}.BMP
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
 
Павел Коростелев
Павел Коростелев
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 11.12.2015
Размещено 11.12.2015 12:28:56
Очистил скриптом и перезагрузился. Заново запустил uVS STARTUP\{39B6FD42-8SKE-838D-9875-3YTA2897936Q}.EXE и {39B6FD42-8SKE-838D-9875-3YTA2897936Q}.BMP удалились.
Кстати картинка {39B6FD42-8SKE-838D-9875-3YTA2897936Q}.BMP во вложении, в ней тест сообщения.
obamausa7.JPG (67.81 КБ)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.12.2015 12:47:23
угу, приятная картинка, но лучше не увидеть такую на своем рабочем столе. :)
[ Как создать образ автозапуска? ]
 
Павел Коростелев
Павел Коростелев
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 11.12.2015
Размещено 11.12.2015 12:57:22
Ага. А я и не видел. И не понял сначала откуда вход был, под какой учеткой. Письма никакого не приходило.
 
Павел Коростелев
Павел Коростелев
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 11.12.2015
Размещено 11.12.2015 13:02:30
Вот что они просят:
Good day! We  have encrypted your computer to indicate on the vulnerabilities and  holes in Your system security! Company specializing in the search of  exploits (vulnerabilities in a simple way) charge for their services  tens of thousands of euros! We , as remuneration, will ask you if you  pay  1BTC today, but tomorrow the price will increase up to 3BTC.
As pay, will send you a program that will return everything as it was.
To guarantee I can decrypt two file .please take me two file
one file with original name
two file original name.id-(your id)-obamausa7@aol
example
one file original name -  (example.rar)
two file   ([email protected])
Thereby we will show You that our intentions are more than serious.
The instructions will receive after payment  1BTC. After payment please Send the decoder, which will return all as was.
https://localbitcoins.com/faq
Read the paragraphs 1.How to buy bitcoins?2.How to send bitcoins and I can pay by bitcoins after their purchase?
Bitcoins buys here https://localbitcoins.com/ our purse 1BcnwEG1cGLGQ2noSPy9cbMZx3mTuoQqUf 2wallet(spare):1EnSX9yixzT7fwhPtzVys2sh7W5a5Q14Ms

1BTC это около 30 000 рублей.
 
1 2 След.
Читают тему