зашифровано в CTBlocker

RSS
Доброе время суток всем.
Ситуация такая как описано ниже. Поймали непонятное и файлы jpg, txt и далее были переименованы с расширением *.ctbl

Вот что нарыл на просторах инета. Взято с форума Касперского. Копирую автора почти полностью, т.к у меня ситуация 1 в 1 как описано ниже.
Ссылка на сайт откуда взята инфа:
http://forum.kaspersky.com/index.php?s=37f92b710fc36f24e1767a1820c9ac01&showtopic=299536&pid=2255­970&st=0&#entry2255970

"Добрый день!

Это мой первый пост на этом форуме, поэтому, пожалуйста, поправьте меня, если я что-то предоставил не в том виде, или просто недописал. Постараюсь изложить поподробнее историю.

Поймали странный шифровальщик. После перезапуска системы часть файлов *.txt, *.doc, *.xls, *.xlsx, *.jpg, по традиции, оказались зашифрованными.
Никаких уведомлений, текстовых файлов, угроз и предложений не было обнаружено. Никаких писем и прочего не поступало.

К имени зашифрованного файла добавляется расширение *.ctbl
Размер файла примерно равен размеру оригинала.

Сам компьютер важно было продолжать использовать, поэтому пришлось удалить из реестра записи о запуске файлов. Сами подозрительные файлы сложил в отдельную папку.

При беглом поиске обнаружил несколько групп файлов.

Во-первых, был запущен некий странный процесс minerd.exe, что очень сильно напоминает троянца, который майнит всякие биткоины и прочее. Судя по всему, запускался он через какую-то сложную систему BAT-файлов, копируя себя и сопровождающие библиотеки в %AppData%\Microsoft\sys32, называясь driver.exe или drive.exe и прописываясь в автозагрузку через HKCU\...\Run. Также копия driver.exe шла в %ALLUSERSPROFILE%\Start Menu\Programs\Startup\.
При запуске системы это всё добро стартовало в 5-6 копий и висело в памяти.

Во-вторых, в %temp% лежал файл mslzxvvyt.exe. Сам файл был залочен, при этом handle.exe от Sysinternals затруднялся ответить, что же блочит этот файл. Пришлось грузиться в безопасном режиме, чтобы перенести его из %temp% в папку. Возможно, именно это и есть шифровальщик.

В-третьих, в %userprofile% лежал 37-мегабайтный скрытый hqxejuyz.exe, в котором видны повторяющиеся структуры данных и что-то про Symantec. Поскольку Symantec давно был удалён, и я не помню, чтобы он клал что-то прямо в папку пользователя, тоже отправил в ту же папку, на всякий случай.

В-четвёртых, в папке Windows\System32, а также в %temp% лежали целая куча exe-файлов вида run[7-8 цифр].exe размером ок. 680 кб.

Ну и, наконец, в %temp% был обнаружен wkjtqif.html, в котором в красивую аккуратную табличку белыми буквами на сером фоне были занесены имена некоторых пошифрованных файлов. Что характерно, в конце файла не закрыты теги </table></body></html>, то есть, возможно, генерация файла была прервана."
......................................................
У меня все тоже самое. Пользователь в панике, т.к "зашифрованы" почти все личные фотографии.
Что делать и как с этим бороться?
Благодарю за внимание.
Изменено: Danetak Danetak - 18.11.2016 07:29:55

Ответы

Пред. 1 ... 4 5 6 7 8 ... 22 След.
santy, прикрепил файл. жду дальнейших указаний)
шифратор был скорее всего здесь, файл либо самоудалился после завершения шифрования, либо был удален при проверке системы.

Цитата
Полное имя                  C:\USERS\0D04~1\APPDATA\LOCAL\TEMP\HKATJND.EXE
Имя файла                   HKATJND.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
JOB.EXE.NOT DIGITAL         (ССЫЛКА ~ \TASKS\)(1)   AND   (ИМЯ ФАЙЛА ~ .EXE)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\WOQHLXF
                           
имеет смысл на будущее защитить данный каталог в HIPS от записи.

для очистки системы выполните это

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %SystemDrive%\USERS\0D04~1\APPDATA\LOCAL\TEMP\HKATJND.EXE
;------------------------autoscript---------------------------

chklst
delvir

; Java(TM) 6 Update 20 (64-bit)
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416020FF} /quiet
; SmilesExtensions version 2.1
exec  C:\Program Files (x86)\smwdgt\unins000.exe
exec  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216020FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов обращайтесь в техническую поддержку support@esetnod32.ru
А данные расшифровать получится? Я так понимаю скрипт - это для очистки системы от всякой подозрительной и не нужной ерунды. Но что делать со всеми данными, которые зашифрованы?
увидел про расшифровку. Тогда вопрос, выше написали, что при условии лицензии, а если нет лицензии, то у мне не помогут?
да, это скрипт очистки системы.

по расшифровке, скорее всего - нет, не помогут. да и при наличие лицензии - не факт еще что все расшифруют.
Изменено: santy - 20.12.2016 12:24:25
Написал письмо, буду надеяться на лучшее и ждать ответа. Винда кстати лицензионная стоит на том компе. Спасибо.
ESET ау!

Так как NOD просыпается тогда, когда сохраняется шифрованный файл, а бедняга нод не может его проверить он же шифрованный (:
Спокойно проходит, спокойно выполняется, спокойно шифрует.

Две недели прошло, вам, я, предполагаю выслали уже сами вирусы на анализ.
Нам необходимо хоть не лекарство, а само блокирование вируса.
Цитата
Igor Feren написал:
ESET ау!

Кричать бесполезно: ESET определяет не столько сам вирус, сколько текстовый файл, в котором появляется волшебная надпись о перечислении денег. Иначе бы проблем не было.

Цитата
Igor Feren написал:
Две недели прошло, вам, я, предполагаю выслали уже сами вирусы на анализ.
Нам необходимо хоть не лекарство, а само блокирование вируса.
вышлите архив с вредоносным вложением (откуда начинается процесс шифрования), который приходит в почту на адрес safety@chklst.ru в архиве с паролем infected
Добрый день! Прошу Вашей помощи!
Доступ к файлам заблокировал локер. предполагается, что предшественником этого вируса было спам письмо, которое содержало в аттаче файл cabby.chtj. Сам вирус с компьютера удалился и логов по нему нет. В результате заражения, все файлы получили дополнительное расширение TYUKFUI и не открываются. Буду очень признателен если Вы окажете помощь!  
Пред. 1 ... 4 5 6 7 8 ... 22 След.
Читают тему (гостей: 2)