[ Закрыто ] Шифовальщик RC6 (7days)

RSS
Коллега отловила через троян win32/SpyVoltar или win32/Qhost вредоносную прграмму - шифровальщик. Файлам с расширениями doc xls dbf zip ... добавлено расширение KjTyb которому сопоставлена программа KOXV3 демонстрирующая на экране окно с именем 7day (В приложении) Кто нибудь сталкивался с этой заразой? nod32 на нее не реагирует. Файлы похоже действительно зашифрованы.
Экран.jpg (235.6 КБ)

Ответы

Цитата
amm50 пишет:
Проверил десодер в комбинации со всеми имеющимися на компьютере файлами config.cfg и account.cfg. Ан не выходит. Похоже эти злыдни действительно держат ключ у себя и отдают его после оплаты

Вирлаб ответил что работает, щас просим еще раз.
чем у вас дело кончилось?
у меня та же проблема. я общаюсь с drweb, ничем не помогли: требуют config.cfg и account.cfg. а у меня их нет!
вам в Вирлаб что ответили? поделитесь инфой, плиз! погибаю....
Цитата
catblack пишет:
требуют config.cfg и account.cfg.
Правильно требуют, без них расшифровка невозможна!

amm50 прошу немного подождать, декодер будет.
Цитата
zloyDi пишет:
Цитата
catblack пишет:
требуют config.cfg и account.cfg.
Правильно требуют, без них расшифровка невозможна!
винду переустановили, поэтому config.cfg и account.cfg НЕТ!

так что, значит, все бесполезно? надежды нет?
Цитата
catblack пишет:
надежды нет?
А вы сами как думаете? Конечно же нет.
Цитата
zloyDi пишет:
 amm50   прошу немного подождать, декодер будет.

К сожалению не будет, вирлаб все таки после долгого анализа пришел к выводу что ключ хранится на сервере у злоумышленников и без ключа написать декодер невозможно.

Прошу прощение за долгое ожидание.
Доброго времени суток, вот здесь http://forum.esetnod32.ru/forum35/topic5286/ ссылки на выложенные декодеры умерли, огромнейшая просьба перезалить.
Словил точно такую же гадость какое-то время назад.. Файлы account.cfg и config.cfg нашёл.
zloyDi, у тебя сохранился? e1353237, у Вас имеется лицензия на наш продукт?
ESET Technical Support
То что файлы нашли это хорошо, но нужен вирус, поскольку как я писал в той теме вирусмейкеры сменили алгоритм, и нужно заново писать декодер.
Все что есть заслать сюда support@esetnod32.ru
Читают тему (гостей: 2)