Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

зашифровано в CTBlocker

RSS
Доброе время суток всем.
Ситуация такая как описано ниже. Поймали непонятное и файлы jpg, txt и далее были переименованы с расширением *.ctbl

Вот что нарыл на просторах инета. Взято с форума Касперского. Копирую автора почти полностью, т.к у меня ситуация 1 в 1 как описано ниже.
Ссылка на сайт откуда взята инфа:
http://forum.kaspersky.com/index.php?s=37f92b710fc36f24e1767a1820c9ac01&showtopic=299536&pid=2255970&st=0&#entry2255970

"Добрый день!

Это мой первый пост на этом форуме, поэтому, пожалуйста, поправьте меня, если я что-то предоставил не в том виде, или просто недописал. Постараюсь изложить поподробнее историю.

Поймали странный шифровальщик. После перезапуска системы часть файлов *.txt, *.doc, *.xls, *.xlsx, *.jpg, по традиции, оказались зашифрованными.
Никаких уведомлений, текстовых файлов, угроз и предложений не было обнаружено. Никаких писем и прочего не поступало.

К имени зашифрованного файла добавляется расширение *.ctbl
Размер файла примерно равен размеру оригинала.

Сам компьютер важно было продолжать использовать, поэтому пришлось удалить из реестра записи о запуске файлов. Сами подозрительные файлы сложил в отдельную папку.

При беглом поиске обнаружил несколько групп файлов.

Во-первых, был запущен некий странный процесс minerd.exe, что очень сильно напоминает троянца, который майнит всякие биткоины и прочее. Судя по всему, запускался он через какую-то сложную систему BAT-файлов, копируя себя и сопровождающие библиотеки в %AppData%\Microsoft\sys32, называясь driver.exe или drive.exe и прописываясь в автозагрузку через HKCU\...\Run. Также копия driver.exe шла в %ALLUSERSPROFILE%\Start Menu\Programs\Startup\.
При запуске системы это всё добро стартовало в 5-6 копий и висело в памяти.

Во-вторых, в %temp% лежал файл mslzxvvyt.exe. Сам файл был залочен, при этом handle.exe от Sysinternals затруднялся ответить, что же блочит этот файл. Пришлось грузиться в безопасном режиме, чтобы перенести его из %temp% в папку. Возможно, именно это и есть шифровальщик.

В-третьих, в %userprofile% лежал 37-мегабайтный скрытый hqxejuyz.exe, в котором видны повторяющиеся структуры данных и что-то про Symantec. Поскольку Symantec давно был удалён, и я не помню, чтобы он клал что-то прямо в папку пользователя, тоже отправил в ту же папку, на всякий случай.

В-четвёртых, в папке Windows\System32, а также в %temp% лежали целая куча exe-файлов вида run[7-8 цифр].exe размером ок. 680 кб.

Ну и, наконец, в %temp% был обнаружен wkjtqif.html, в котором в красивую аккуратную табличку белыми буквами на сером фоне были занесены имена некоторых пошифрованных файлов. Что характерно, в конце файла не закрыты теги </table></body></html>, то есть, возможно, генерация файла была прервана."
......................................................
У меня все тоже самое. Пользователь в панике, т.к "зашифрованы" почти все личные фотографии.
Что делать и как с этим бороться?
Благодарю за внимание.
Изменено: Danetak Danetak - 18.11.2016 07:29:55

Ответы

Пред. 1 ... 9 10 11 12 13 ... 22 След.
:!::cry:Пришел в сообщении вирус шпион, зашифровал все фотографии и прочие файлы!! Пменял их стандартные расширения на  "qzdxawa" . Теперь незнаю что делать... Фотографии были в одном экземпляре((( Помогите, очень прошу.:(:!:

В каждой папке есть картинка и вот такой файл:
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic683/
Я пострадавшая сторона. Все предложения в личку! :|
после открытия почты, появилась заставка что компьютер атакован, ничего не работало ни клава ни мышь, в безопасном то же самое. удалил вирус через antiwinlocker
после этого увидел что
вирус зашифровал файлы с расширением rzszsva
реально ли что то сделать
Изменено: Евгений Гудков - 27.05.2016 16:17:54
При наличае лицензии ESET
Файлы поместите в архив.
На архив установите пароль: virus
Прикрепите архив к письму и с описанием проблемы вышлите на адрес [email protected]
----------
Для проверки Системы на вирусы:
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
Образ автозапуска uVS - разместите в это теме.
Изменено: RP55 RP55 - 27.05.2016 16:17:54
файл автозапуска
скорее всего ctb locker и расшифровать данные не получится.
что можно сделать:
1. вышлите в почту [email protected] с паролем infected тот архив из вредоносного вложения, который вы открыли
2. выполнит очистку системы с помощью uVS
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
delall %SystemDrive%\DOCUME~1\ADMIN\LOCALS~1\TEMP\XZHUZKH.EXE
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
3. при наличие лицензии на антивирус, вышлите зашифрованные файлы (несколько) в техническую поддержку [email protected]
4. пробуйте восстановить удаленные файлы другими методами восстановления
http://forum.esetnod32.ru/forum35/topic11575/
Игорь Маркашов у вас шифратор из этой http://forum.esetnod32.ru/forum35/topic11575/ серии.  
Михаил
спасибо, а возможно ли расшифровать файлы?
да, след от ctb locker остался.

Цитата
Полное имя                  C:\USERS\2C1D~1\APPDATA\LOCAL\TEMP\XLBWVRG.EXE
Имя файла                   XLBWVRG.EXE
Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\QVJRTGL
расшифровке по ctb locker нет в вирлабах, а система основательно заражена, необходимо очистить скриптом.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

zoo %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\BONANZADEALSLIVE.EXE
addsgn 1AD2539A5583358CF42BC4BD0CD02344256278F689FA940D8D4633C825554CD02F56C3544B16F74DC3A8A29F464FCA9F81DFBE9A05FCB02C74FEE1CB42C6567A 8 Adware.Shopper.363 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0\NPGOOGLEUPDATE3.DLL
addsgn 79132211B9E9317E0AA1AB5962841205DAFFF47DC4EA942D892B2942AF292811E11BC39BF2995185E74C48538ADA8536B113BDF9B98DE6A7587B2F62D78D5F7B 64 DealPly-A [PUP]

zoo %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0\BONANZADEALSLIVEONDEMAND.EXE
addsgn 1A24619A5583348CF42B254E3143FE8E7082AA7DFCF648938CA5407524C7330E6551CCE0305A2A4B24377DB48162A3A5235A280F505978D370B4DA2CF4C6622E 8 Adware.Shopper.363 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\METACRAWLER\1.8.19.0\METACRAWLERAPP.DLL
addsgn 79132211B9E9317E0AA1AB5973961205DAFFF47DC4EA942D892B2942AF292811E11BC39BF2995185E7D50F731140C28F7154A562DEA7B8A7ECFC752C013DDC05 64 Win32/Toolbar.Montiera.A [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0\BONANZADEALSLIVEBROKER.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\CONDUIT\COMMUNITY ALERTS\ALERT.DLL
addsgn 79132211B9E9317E0AA1AB59AE4B1205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5A0C58CF9CD4345117AB9D3B821CBF06C22C0AC4942CF5782 64 Win32/Toolbar.Conduit.Y [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\METACRAWLER\1.8.19.0\METACRAWLERENG.DLL
addsgn 79132211B9E9317E0AA1AB59C2531205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5C35FD39F46E93CEAFE1FC822AAAFBCD3587F4C3D5B0622F0 64 Adware.Toolbar.205 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0\PSMACHINE.DLL
addsgn 79132211B9E9317E0AA1AB59568E1205DAFFF47DC4EA942D892B2942AF292811E11BC39BF2995185E74C48538ADA1C719188BEF920D63B613DFCD9274CC7A9A2 64 DealPly-A [PUP]

zoo %SystemDrive%\PROGRAM FILES (X86)\METACRAWLER\1.8.19.0\METACRAWLERSRV.EXE
addsgn 1A1EFD9A5583C58CF42B254E3143FE86C99AAB09FCEA9235752B215CAF29FA312B923C2219BDA05D2B80439F501649FA9586FF72555ACDD02D03A3A482FEA113 8 Win32/Toolbar.Montiera.A [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0\GOOPDATE.DLL
addsgn 79132211B9E9317E0AA1AB59229C1205DAFFF47DC4EA942D892B2942AF292811E11BC33D323D95EF21986C807B16497108D76D8421AF33118901AF37C4736119 64 Win32/DealPly.L [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0\BONANZADEALSLIVEHANDLER.EXE

del %SystemDrive%\USERS\СЛАВА\APPDATA\ROAMING\BROWSERS\EXE.AREPO.BAT
del %SystemDrive%\USERS\СЛАВА\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT
del %SystemDrive%\USERS\СЛАВА\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT
del %SystemDrive%\USERS\СЛАВА\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL_3DH.BAT
del %SystemDrive%\USERS\СЛАВА\APPDATA\ROAMING\BROWSERS\EXE.RESWORB.BAT
deldirex %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0
deldirex %SystemDrive%\PROGRAM FILES (X86)\WEBCONNECT
delall %SystemDrive%\USERS\2C1D~1\APPDATA\ROAMING\METACR~1\UPDATE~1\UPDATE~1.EXE
hide %SystemDrive%\TOTAL\SOFT\AIMP\AIMP3.EXE
hide %SystemDrive%\PROGRAM FILES\CORELDRAW 9 SETUP FILES\SETUP32.EXE
hide %SystemDrive%\MP4\UPDATE\KLUPDATER\KASPERSKYUPDATER.EXE
delall %SystemDrive%\USERS\2C1D~1\APPDATA\LOCAL\TEMP\XLBWVRG.EXE
delall %SystemDrive%\USERS\СЛАВА\6130065.EXE
delall %SystemDrive%\USERS\СЛАВА\APPDATA\LOCAL\MICROSOFT\WINDOWS\TOOLBAR.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP:\\LYLL.NET

delref HTTP://WWW.SWEET-PAGE.COM/WEB/?TYPE=DS&TS=1422534499&FROM=COR&UID=ST9500325AS_S2WH85HDXXXXS2WH85HD&Q...

delref HTTP://YAMBLER.NET/?IM

REGT 28
REGT 29

; WebConnect 3.0.0
exec C:\Program Files (x86)\WebConnect\WebConnectuninstall.exe
; Bonanza Deals (remove only)
exec  C:\Program Files (x86)\BonanzaDeals\uninst.exe" /uninstall
; metaCrawler
exec  C:\Program Files (x86)\metaCrawler\1.8.19.0\uninstall.exe
; MetaCrawler
exec C:\Users\2C1D~1\AppData\Roaming\METACR~1\UpdateProc\UpdateTask.exe /Uninstall

deldir %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX
deldir %SystemDrive%\USERS\СЛАВА\APPDATA\LOCAL\SKYMONK2

deltmp
delnfr
;-------------------------------------------------------------

restart
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
Изменено: santy - 27.05.2016 15:16:51
Пред. 1 ... 9 10 11 12 13 ... 22 След.
Читают тему