Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

зашифровано с расширением .id-{*}_repairfiles365@gmail_com

RSS
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 12.04.2016 13:16:24
Словили сегодня шифровщика, кто что запускал не понятно, зашифровал все что на флешке, диске Д, и кусок диска С. Шифровал все что связано с бухами, ключи банка, электронные подписи, программу для отрпавки отчетов. Такое чувство что я его прервал когда начал базы 1С обновлять.
В архиве пару файлов, пароль virus. Есть варианты расшифровать?
nod32 его не видет, файлы шифруются.
virus.rar зашифрованный файл, пароль virus.
В начале файл становить с расширением gpg, потом он удаляется и вместо него появляется другой

С помоью МВАМ нашел PUP.Optional.PassView Файл D:\Install\!totalcmd\plugins\exe\NhT\PassMaker.exe
Изменено: Сергей Жало - 22.06.2017 09:13:46

Ответы

Пред. 1 2 3 След.
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 12.04.2016 17:28:53
Не могу теперь негде найти iconv.dll(((

Вот что еще нашел
Изменено: Сергей Жало - 12.04.2016 17:37:01
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 12.04.2016 17:34:15
1.zip уже был в предыдущих сообщениях

по рисунку: пробуйте восстановить то, что выделено на рисунке
только восстановление желательно делать на другой носитель.
--------
кстати, в почту мне ничего не пришло.
Изменено: santy - 12.04.2016 17:38:42
[ Как создать образ автозапуска? ]
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 12.04.2016 17:42:35
Цитата
santy написал:
1.zip уже был в предыдущих сообщениях

по рисунку: пробуйте восстановить то, что выделено на рисунке
только восстановление желательно делать на другой носитель.
Не тот архив вытянул, перезалил, в верху txt файлы, а в 123.zip dll и exe, пасс infected

отправил еще раз, посмотрите отправителя [email protected]
Изменено: Сергей Жало - 12.04.2016 17:44:00
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 12.04.2016 17:50:20
key.txt содержит публичный ключ gnupg, для расшифровки он не подойдет.
ищите инфо с таким содержанием:
-----BEGIN PGP PRIVATE KEY BLOCK-----

Цитата
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.7 (MingW32)

mI0EVwtYDwEEALbPVgFzNlNfmvFXe9/Kbcq2kDr5WT25KVx4pLCIu6ndp0UD­z0UC
vexfoLYSi9YweRZPzdnXrScbJtio8Rw8c9YDcVyp1k7Ea01sgS3ZYyjWnR2k­eYgT
NUdhZaRJ9aFmE30J5ZqB6vorXPDwxA2XkbQvl+6W1e6+BmlelCLnBnDZABEB­AAG0
JW15Y3J5cHQgKG15Y3J5cHQpIDxteWNyeXB0QGdtYWlsLmNvbT6ItgQTAQIA­IAUC
VwtYDwIbLwYLCQgHAwIEFQIIAwQWAgMBAh4BAheAAAoJED3sKsU62/gQ+I4E­AJoB
afRyyr9RBk52ayTKy91LMMcJ6K4qwbzwnpkTP7TPdF33qRJdPiP8aAP1eJIb­g2lz
O3e8SsnA1nQIQC8v51FP1RbG2YD7IoSm5JQ2wCNR8oHEhHClqPQ0GwMaXAZQ­05s/
SMFyFMz8uhH+fRvfp3Xz8U9apZduuQteILGBhDzA
=zxI6
-----END PGP PUBLIC KEY BLOCK-----
secring.gpg нулевой, поэтому бесполезен для расшифровки... надо искать ненулевой secring.gpg
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 12.04.2016 17:54:10
файлы похоже зашифрованы вот этим ключом.
для расшифровки нужен соответствующий secring.gpg

похоже нашлись продолжатели "славных дел" bat-encoder &vault

gpg: key 3ADBF810: public key "mycrypt (mycrypt) <[email protected]>" imported
gpg: Total number processed: 1
gpg:               imported: 1

- Public keyring updated. -

File: X:\viruses\shifr\encoder\исследовать\400\111\pubring.gpg
Time: 12.04.2016 21:52:03 (12.04.2016 14:52:03 UTC)
------------------
или так еще:

pub   1024R/3ADBF810 11.04.2016
-------------
uid                  mycrypt (mycrypt) <[email protected]>
sig 3        3ADBF810 11.04.2016  mycrypt (mycrypt) <[email protected]>
Изменено: santy - 12.04.2016 18:07:52
[ Как создать образ автозапуска? ]
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 12.04.2016 17:58:02
Цитата
santy написал:
key.txt содержит публичный ключ gnupg, для расшифровки он не подойдет.
ищите инфо с таким содержанием:
-----BEGIN PGP PRIVATE KEY BLOCK-----
Искать в txt файлах? По идее если был повторый запуск ночью то файл тоже был на пк?
найти бы этих продолжителей, да в лес елку удобрять
Изменено: Сергей Жало - 12.04.2016 18:06:39
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 12.04.2016 18:10:54
при повторном запуске шифровать будет уже другим ключом.
нужен исходник, тот файл, из которого был запущен процесс шифрования.
возможно это был js, который все что надо выкачал из сети, и запустил процесс шифрования.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 12.04.2016 18:12:04
Цитата
Сергей Жало написал:
Искать в txt файлах? По идее если был повторый запуск ночью то файл тоже был на пк?
найти бы этих продолжителей, да в лес елку удобрять
можно с помощью winhex искать по содержимому всего диска, если позволяет время.
[ Как создать образ автозапуска? ]
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 12.04.2016 18:13:41
Цитата
santy написал:
можно с помощью winhex искать по содержимому всего диска, если позволяет время.
Я им некогда не пользовался(

В каких он обычно файлах, шифровщик, идет? может на поиск поставлю что то будет, сейчас р-студия сканирует диск Д, там был обнаружен черт какой то который в карантире, может там что то будет
Изменено: Сергей Жало - 12.04.2016 18:14:57
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 12.04.2016 18:19:55
предположительно js
и еще раз напоминаю - проверьте входящую почту менеджера (если конечно он пользуется например оутлуком или thunderbird), который работал на данном компе за 11апреля. обратите внимание на вложения сообщений

и вот это прочитайте
http://chklst.ru/discussion/1481/vault-chto-delat#latest
Изменено: santy - 12.04.2016 18:21:00
[ Как создать образ автозапуска? ]
 
Пред. 1 2 3 След.
Читают тему