Вход
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

зашифровано с расширением id-*[email protected] , Filecoder.DG

1 2 След.
RSS
 
Вячеслав Ефимов
Вячеслав Ефимов
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 04.02.2015
Размещено 04.02.2015 07:05:41
Добрый день! У нас такая же проблема! После обеда (по москве 10-11ч) 02.02.2015 пришло письмо "повестка в суд, Вы приглашены в качестве свидетеля по делу № и.т.п. Информация по делу во вложении и т.п." Зашифровал ПК прочитавшего данное письмо, и каким то образом попал на AD зашифровал базы 1С, спустя час или два!!! Файлы в виде: Указ Президента РФ от 28.docx.id-6857914722_paycrypt@inbox! Как быть? Другая версия вируса?
 
santy
santy
Администратор
Сообщений: 17910
Баллов: 28655
Регистрация: 16.03.2010
Размещено 04.02.2015 07:10:27
Вячеслав Ефимов,
вышлите в почту [email protected] файл из вложения в архиве с паролем infected
Изменено: santy - 07.12.2016 13:08:01
[ Как создать образ автозапуска? ]
 
Вячеслав Ефимов
Вячеслав Ефимов
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 04.02.2015
Размещено 04.02.2015 07:57:01
Цитата
santy написал:
Вячеслав Ефимов,
вышлите в почту  [email protected]  файл из вложения в архиве с паролем infected
Отправил с пометкой От Вячеслава Ефимова
Изменено: Вячеслав Ефимов - 07.12.2016 13:08:01
 
santy
santy
Администратор
Сообщений: 17910
Баллов: 28655
Регистрация: 16.03.2010
Размещено 04.02.2015 08:14:10
судя по банеру - вариант Encoder.741, "слегка припудрили носик"


поменяли текст, почту.
архивное тело уже недоступно, чтобы проверить на Virustotal, кем оно детектируется на сейчас. если есть возможность - проверьте наличие тела в карантине сканера.
(черви-шифраторы в локальной сети, это уж слишком, хотя механизм размножения шифраторов через почту юзера (отправлялось тело вируса по контактам зараженного пользователя) был использован в бат-энкодере (*[email protected]))
Изменено: santy - 07.12.2016 13:08:01
[ Как создать образ автозапуска? ]
 
илья тураев
илья тураев
Пользователь
Сообщений: 1
Регистрация: 05.02.2015
Размещено 05.02.2015 16:17:26
Добрый день! У нас такая же проблема ! После обеда (по москве 10-11ч) 02.02.2015 пришло письмо "повестка в суд, Вы приглашены в качестве свидетеля по делу № и.т.п. Информация по делу во вложении и т.п." Зашифровал ПК прочитавшего данное письмо, и каким то образом попал на AD зашифровал базы 1С, спустя час или два!!! Файлы в виде: Указ Президента РФ от 28.docx.id-6857914722_paycrypt@inbox! Как быть? Другая версия вируса?
 
santy
santy
Администратор
Сообщений: 17910
Баллов: 28655
Регистрация: 16.03.2010
Размещено 05.02.2015 16:26:30
это скорее всего Encoder.741
вышлите тело вируса из сообщения в архиве с паролем infected на адрес [email protected]
[ Как создать образ автозапуска? ]
 
kashi
kashi
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 06.02.2015
Размещено 11.02.2015 16:27:45
Здравствуйте, помогите нам пожалуйста. Файлы имеют расширение id-4238441465_paycrypt@inbox.
 
santy
santy
Администратор
Сообщений: 17910
Баллов: 28655
Регистрация: 16.03.2010
Размещено 11.02.2015 17:22:00
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
 
kashi
kashi
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 06.02.2015
Размещено 12.02.2015 11:50:55
Файл залил.
http://rghost.ru/6H2pLLXRz
Изменено: kashi - 12.02.2015 11:51:16
 
santy
santy
Администратор
Сообщений: 17910
Баллов: 28655
Регистрация: 16.03.2010
Размещено 12.02.2015 12:08:41
1. восстановление из теневых копий невозможно в вашем случае, поскольку на XP не поддерживается сохранение копий документов. (только критически важные для системы файлы)
Цитата
uVS v3.85.3 [http://dsrt.dyndns.org]: Microsoft Windows XP x86 (NT v5.1) build 2600 Service Pack 3 [C:\WINDOWS]

2. по очистке системы:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.6 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\NETWORKSERVICE\LOCAL SETTINGS\APPLICATION DATA\SMSS.EXE
delall %SystemRoot%\EKSPLORASI.EXE
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
3. по расшифровке данных: если есть лицензия на продукты ESET, обращайтесь в техподдержку [email protected]
Изменено: santy - 12.02.2015 12:09:32
[ Как создать образ автозапуска? ]
 
1 2 След.
Читают тему