зашифровано с расширением .just; .green; .neitrino; , Filecoder.BM

RSS

Сообщений: 1

Регистрация: 22.05.2014

Размещено 22.05.2014 14:23:27

на электронную почту 19.05.2014 пришел архив с названием "резюме.rar", он распаковался, но файл не открылся.
на следующий день файлы на компьютере зашифровались, в конце расширения файлов добавилось .just (удаление данной надписи не дает возможности открыть файл)
и в каждой папке появился текстовый файл "MESSAGE", с содержанием:

Приобретение декриптора:[email protected]
Ключ хранится до 22.05.2014
Обращения после 22.05.2014 будут игнорироваться.
При обращении укажите в теме письма ваш ID:6810623507
Письма обрабатываются автоматической системой.
Возможны задержки ответов

Проверка компьютера антивирусными программами ничего не выявляют.
Примеры зашифрованных файлов прикрепляем:

Прикрепленные файлы

MESSAGE.rar (304 Б)
Vb_Триптих_пример (2013).xls.rar (1.78 МБ)
NEWS тех.треб 3х6__.doc.rar (139.74 КБ)
ЛСТ-буква_20х28.cdr.rar (21.93 КБ)
ЛСТ-буква_20х28.jpg.rar (37.11 КБ)

Ответы

Пред. 1 2 3 4 След.

Сообщений: 1

Регистрация: 26.12.2015

Размещено 26.12.2015 20:23:52

Добрый день.
Сегодня пользователь подцепил по определению Nod32 вот такую заразу Win32\Filecoder.BM троянская программа.
зашифровались все файлы с расширениями xls, doc. pdf, jpg, bmp.
к ним дописалось расширение .green и рядом текстовый файл MESSAGE.txt
Во вложение похоже сам вирус, находились файлы в профиле зараженного пользователя AppData.
Пожалуйста помогите расшифровать файлы.
Заранее спасибо.
помогите пожалуйста, дело срочное ....отправил образец защифрованных файлов и обрз загрузчика системы

Прикрепленные файлы

OFFICE_2015-12-26_19-58-51.TXT (4.6 МБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 27.12.2015 07:47:46

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\OFFICE\РАБОЧИЙ СТОЛ\CUTEWRITER.EXE addsgn A7679B1991AE1F245CE76E3821389B40F9627A627605F7F5233C3A544C7F8EB3CB440AA8C1BD0780D47F6C56B4E9B6124D2B178D661AE544D1D5E42FA3F91217 57 Win32/InstallCore ;------------------------autoscript--------------------------- chklst delvir delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] delref USB.WSF deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\OFFICE\РАБОЧИЙ СТОЛ\CUTEWRITER.EXE
addsgn A7679B1991AE1F245CE76E3821389B40F9627A627605F7F5233C3A544C7F8EB3CB440AA8C1BD0780D47F6C56B4E9B6124D2B178D661AE544D1D5E42FA3F91217 57 Win32/InstallCore

;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref USB.WSF

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 9

Баллов: 4

Регистрация: 27.02.2017

Размещено 27.02.2017 18:47:19

Всем доброго вечера.
На сетевом диск начали шифроваться файлы, с расширением .neitrino.
Шифрование происходит не понятным методом, не все подряд, а как то выборочно.
Общий файловый ресурс не затронут.
Файлы на ПК не затронуты.
Затронута только папка к которой пользователь имел права на редактирование.

Как удалить шифровальщик из системы и сети.
Если будет возможно буду рад расшифровать файлы.

p.s. у шифрованного файла меняется владелец - на сотрудника (который видимо и источник всех бед)

p.s.s. прогон антивирусом ПК результатов не дал, файлы продолжают шифроваться.

Спасибо

Изменено: Иван Демидов - 27.02.2017 19:28:25

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 27.02.2017 19:11:48

порядок шифрования дисков у разных шифраторов может быть разных,
имеет смысл отключить доступ к сетевому диску, и затем локализовать на каком из устройств запущено шифрование.

если вы можете сразу определить на каком устройстве предположительно запущен шифратор,
то лучше этот комп выключить, и сделать образ автозапуска из безопасного режима.
http://forum.esetnod32.ru/forum9/topic2687/
(после того как образ будет сделан, и передан нам, комп опять же лучше выключить, до ожидания результата проверки.)

предположительно,
был открыт из почты документ (или скачан из сети) с темой "резюме."
(как правило содержит внедренный объект, который запускается на исполнение при двойном клике на ссылку или рисунок в документе резюме.)

[ Как создать образ автозапуска? ]

Сообщений: 9

Баллов: 4

Регистрация: 27.02.2017

Размещено 27.02.2017 19:31:48

Вопрос в том и состоит - как именно определить на каком устройстве запущен шифратор ?

Сообщений: 9

Баллов: 4

Регистрация: 27.02.2017

Размещено 27.02.2017 19:43:33

Добрый вечер еще раз.
Прикрепляю файл с образом автозапуска.

Да, вероятнее всего файл был получен из почты, но сотрудник не сознается, в рабочей почте похожих писем нет.
Поэтому инициализировать получается только по атрибутам шифрованных файлов.
Владелец - СидороВВ -> виновник вероятнее всего он

Прикрепленные файлы

INT-MSK-PC30_2017-02-27_19-35-08.7z (599.64 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.02.2017 04:40:08

это ваши батники?

Цитата
Полное имя C:\USERS\СЕРГЕЙ\APPDATA\ROAMING\SVCHOST.BAT Имя файла SVCHOST.BAT Тек. статус в автозапуске Сохраненная информация на момент создания образа Статус в автозапуске Размер 675 байт Создан 27.02.2017 в 09:05:28 Изменен 27.02.2017 в 09:05:28 Цифр. подпись Отсутствует либо ее не удалось проверить Доп. информация на момент обновления списка SHA1 2082ACD56632EDC2FBCE046BDB7E6E7FEB84C4F3 MD5 C9794A517BFCE08D795DF3420DEC0531 #FILE# chcp 1251 del "C:\Users\Сергей\AppData\Roaming\.rar" del "C:\Users\D899~1\AppData\Local\Temp\.rar" del "C:\Users\D899~1\AppData\Local\Temp\.scr" del "C:\Users\D899~1\AppData\Local\Temp\.docx" del "C:\Users\D899~1\AppData\Local\Temp\.exe" del "C:\Users\D899~1\AppData\Local\Temp\.wsf" del "C:\Users\D899~1\AppData\Local\Temp\.crt" :simon del "C:\Users\Сергей\AppData\Roaming\.exe" if exist "C:\Users\Сергей\AppData\Roaming\*.exe" ( ping -n 2 127.0.0.1 > nul Goto simon) reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce /v TempClear /f del "C:\Users\Сергей\AppData\Roaming\svchost.bat" del "C:\Users\Сергей\AppData\Roaming\svchost.bat" Ссылки на объект Ссылка HKLM\laxarcnxo\Software\Microsoft\Windows\CurrentVersion\RunOnce\ClearTMP ClearTMP "C:\Users\Сергей\AppData\Roaming\svchost.bat"

Цитата

Полное имя C:\USERS\СЕРГЕЙ\APPDATA\ROAMING\SVCHOST.BAT
Имя файла SVCHOST.BAT
Тек. статус в автозапуске

Сохраненная информация на момент создания образа
Статус в автозапуске
Размер 675 байт
Создан 27.02.2017 в 09:05:28
Изменен 27.02.2017 в 09:05:28
Цифр. подпись Отсутствует либо ее не удалось проверить

Доп. информация на момент обновления списка
SHA1 2082ACD56632EDC2FBCE046BDB7E6E7FEB84C4F3
MD5 C9794A517BFCE08D795DF3420DEC0531

#FILE# chcp 1251
del "C:\Users\Сергей\AppData\Roaming\*.rar"
del "C:\Users\D899~1\AppData\Local\Temp\*.rar"
del "C:\Users\D899~1\AppData\Local\Temp\*.scr"
del "C:\Users\D899~1\AppData\Local\Temp\*.docx"
del "C:\Users\D899~1\AppData\Local\Temp\*.exe"
del "C:\Users\D899~1\AppData\Local\Temp\*.wsf"
del "C:\Users\D899~1\AppData\Local\Temp\*.crt"
:simon
del "C:\Users\Сергей\AppData\Roaming\*.exe"
if exist "C:\Users\Сергей\AppData\Roaming\*.exe" (
ping -n 2 127.0.0.1 > nul
Goto simon)
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce /v TempClear /f
del "C:\Users\Сергей\AppData\Roaming\svchost.bat"
del "C:\Users\Сергей\AppData\Roaming\svchost.bat"

Ссылки на объект
Ссылка HKLM\laxarcnxo\Software\Microsoft\Windows\CurrentVersion\RunOnce\ClearTMP
ClearTMP "C:\Users\Сергей\AppData\Roaming\svchost.bat"

Цитата
Полное имя {208C3C31-4F15-4944-83AA-C41637E92E35}.CMD Имя файла {208C3C31-4F15-4944-83AA-C41637E92E35}.CMD Тек. статус в автозапуске Сохраненная информация на момент создания образа Статус в автозапуске Ссылки на объект Ссылка HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\{208C3C31-4F15-4944-83AA-C41637E92E35} {208C3C31-4F15-4944-83AA-C41637E92E35}cmd.exe /C start /D "C:\Users\DEMIDO~1\AppData\Local\Temp" /B {208C3C31-4F15-4944-83AA-C41637E92E35}.cmd

Цитата

Полное имя {208C3C31-4F15-4944-83AA-C41637E92E35}.CMD
Имя файла {208C3C31-4F15-4944-83AA-C41637E92E35}.CMD
Тек. статус в автозапуске

Сохраненная информация на момент создания образа
Статус в автозапуске

Ссылки на объект
Ссылка HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\{208C3C31-4F15-4944-83AA-C41637E92E35}
{208C3C31-4F15-4944-83AA-C41637E92E35}cmd.exe /C start /D "C:\Users\DEMIDO~1\AppData\Local\Temp" /B {208C3C31-4F15-4944-83AA-C41637E92E35}.cmd

-----------------
утилиты для проверки что-то нашли? обычно этот вариант шифратора маскируется под утилитку от Адобе.

[ Как создать образ автозапуска? ]

Сообщений: 9

Баллов: 4

Регистрация: 27.02.2017

Размещено 28.02.2017 08:26:10

Доброе утро
Нет, батник не мой.
Но проверил под остальными пользователями, он так же присутствует.
Утилиты ничего не нашли

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.02.2017 09:34:38

а процесс шифрования прекратился? он мог продолжаться до тех пор, пока файл шифратора висел в памяти.

[ Как создать образ автозапуска? ]

Сообщений: 9

Баллов: 4

Регистрация: 27.02.2017

Размещено 28.02.2017 10:31:08

На сетевом диске вроде как да.
На ПК ни один файл не зашифровался, только в сетевой шаре.

Пред. 1 2 3 4 След.