зашифровано в CTBlocker

RSS
Доброе время суток всем.
Ситуация такая как описано ниже. Поймали непонятное и файлы jpg, txt и далее были переименованы с расширением *.ctbl

Вот что нарыл на просторах инета. Взято с форума Касперского. Копирую автора почти полностью, т.к у меня ситуация 1 в 1 как описано ниже.
Ссылка на сайт откуда взята инфа:
http://forum.kaspersky.com/index.php?s=37f92b710fc36f24e1767a1820c9ac01&showtopic=299536&pid=2255­970&st=0&#entry2255970

"Добрый день!

Это мой первый пост на этом форуме, поэтому, пожалуйста, поправьте меня, если я что-то предоставил не в том виде, или просто недописал. Постараюсь изложить поподробнее историю.

Поймали странный шифровальщик. После перезапуска системы часть файлов *.txt, *.doc, *.xls, *.xlsx, *.jpg, по традиции, оказались зашифрованными.
Никаких уведомлений, текстовых файлов, угроз и предложений не было обнаружено. Никаких писем и прочего не поступало.

К имени зашифрованного файла добавляется расширение *.ctbl
Размер файла примерно равен размеру оригинала.

Сам компьютер важно было продолжать использовать, поэтому пришлось удалить из реестра записи о запуске файлов. Сами подозрительные файлы сложил в отдельную папку.

При беглом поиске обнаружил несколько групп файлов.

Во-первых, был запущен некий странный процесс minerd.exe, что очень сильно напоминает троянца, который майнит всякие биткоины и прочее. Судя по всему, запускался он через какую-то сложную систему BAT-файлов, копируя себя и сопровождающие библиотеки в %AppData%\Microsoft\sys32, называясь driver.exe или drive.exe и прописываясь в автозагрузку через HKCU\...\Run. Также копия driver.exe шла в %ALLUSERSPROFILE%\Start Menu\Programs\Startup\.
При запуске системы это всё добро стартовало в 5-6 копий и висело в памяти.

Во-вторых, в %temp% лежал файл mslzxvvyt.exe. Сам файл был залочен, при этом handle.exe от Sysinternals затруднялся ответить, что же блочит этот файл. Пришлось грузиться в безопасном режиме, чтобы перенести его из %temp% в папку. Возможно, именно это и есть шифровальщик.

В-третьих, в %userprofile% лежал 37-мегабайтный скрытый hqxejuyz.exe, в котором видны повторяющиеся структуры данных и что-то про Symantec. Поскольку Symantec давно был удалён, и я не помню, чтобы он клал что-то прямо в папку пользователя, тоже отправил в ту же папку, на всякий случай.

В-четвёртых, в папке Windows\System32, а также в %temp% лежали целая куча exe-файлов вида run[7-8 цифр].exe размером ок. 680 кб.

Ну и, наконец, в %temp% был обнаружен wkjtqif.html, в котором в красивую аккуратную табличку белыми буквами на сером фоне были занесены имена некоторых пошифрованных файлов. Что характерно, в конце файла не закрыты теги </table></body></html>, то есть, возможно, генерация файла была прервана."
......................................................
У меня все тоже самое. Пользователь в панике, т.к "зашифрованы" почти все личные фотографии.
Что делать и как с этим бороться?
Благодарю за внимание.
Изменено: Danetak Danetak - 18.11.2016 07:29:55

Ответы

Пред. 1 ... 8 9 10 11 12 ... 22 След.
Игорь Маркашов, Вы отправили запрос в техподдержку?
ESET Technical Support
все отправил на почту support@esetnod23.ru.
Alexey Soloviev, а выложите файл дешифровщик в доступ, будем пробывать ломать дальше
Цитата
Евгений Рыбальченко написал:
выложите файл дешифровщик в доступ, будем пробывать ломать дальше

А правила форума Вам ни о чем не говорят?

sendvirus2019@gmail.com
Цитата
zloyDi написал:

Цитата
Евгений Рыбальченко   написал:
выложите файл дешифровщик в доступ, будем пробывать ломать дальше
А правила форума Вам ни о чем не говорят?
А мне тоже интересно, а вы если пишите о правилах пишите какое имеете ввиду правило, а не отвечать вопросом на вопрос (6 . Если Вам нечего сказать — лучше ничего не говорить. Не надо писать сообщения только для того, чтобы отметиться.
)
Распространение вирусов на форуме запрещено, если это правило Вам не понятно то уж извините.

sendvirus2019@gmail.com
Цитата
zloyDi написал:
Распространение вирусов на форуме запрещено, если это правило Вам не понятно то уж извините.
Предлагалось выложить дешифратор, а не вирус. Читайте внимательно.
Во-вторых, как лицензионный пользователь вашего "антивируса", кроме личного "фэ" могу высказать еще много чего лестного.  
дешифратор, если есть (или будет) на то добрая воля человека, заплатившего 3 бтк (целое состояние!) можно выложить на обменник, например http://rghost.ru и дать ссылку на него для всех желающих погрызть гранит криптологии.
можно так же добавить пару файлов, из тех что были зашифрованы, чтобы проверить работу данного дешифратора.
Господа, зашифрованные файлы на самом деле удаляются по истечение таймера, или это обычное запугивание?

Ни одна ссылка из текстового послания не открывается..даже и заплатить некому))))
Изменено: Юрий Баль - 27.05.2016 16:24:04
Цитата
Юрий Баль написал:
Господа, зашифрованные файлы на самом деле удаляются по истечение таймера, или это обычное запугивание?

Если вируса нет в системе - кто удалит файлы ?
Да и зачем их удалять - ведь их расшифровка практически невозможна.
-----
Может удалиться следующее:
1) Ресурс/сайт  который распространял вирус; вспомогательный ресурс - по получению денег; почтовый ящик злоумышленника.
Злоумышленник работает с этими ресурсами на протяжении определённого времени...
После того как ресурс вносят в чёрный список - создаётся новый...
Тоже и с почтой - со временем появляется новый ящик.
2) Данные/ключ для расшифровки на стороне злоумышленника также храниться определённое время.
Его нет смысла хранить бесконечно долго.
Пример:
Происходит атака = заражение скажем 100 PC.
Если в течении ***дней пострадавшая сторона не проявила инициативы и не вышла на связь, то нет смысла хранить ключ.
Пред. 1 ... 8 9 10 11 12 ... 22 След.
Читают тему (гостей: 1)