Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

зашифровано в CTBlocker

RSS
Доброе время суток всем.
Ситуация такая как описано ниже. Поймали непонятное и файлы jpg, txt и далее были переименованы с расширением *.ctbl

Вот что нарыл на просторах инета. Взято с форума Касперского. Копирую автора почти полностью, т.к у меня ситуация 1 в 1 как описано ниже.
Ссылка на сайт откуда взята инфа:
http://forum.kaspersky.com/index.php?s=37f92b710fc36f24e1767a1820c9ac01&showtopic=299536&pid=2255970&st=0&#entry2255970

"Добрый день!

Это мой первый пост на этом форуме, поэтому, пожалуйста, поправьте меня, если я что-то предоставил не в том виде, или просто недописал. Постараюсь изложить поподробнее историю.

Поймали странный шифровальщик. После перезапуска системы часть файлов *.txt, *.doc, *.xls, *.xlsx, *.jpg, по традиции, оказались зашифрованными.
Никаких уведомлений, текстовых файлов, угроз и предложений не было обнаружено. Никаких писем и прочего не поступало.

К имени зашифрованного файла добавляется расширение *.ctbl
Размер файла примерно равен размеру оригинала.

Сам компьютер важно было продолжать использовать, поэтому пришлось удалить из реестра записи о запуске файлов. Сами подозрительные файлы сложил в отдельную папку.

При беглом поиске обнаружил несколько групп файлов.

Во-первых, был запущен некий странный процесс minerd.exe, что очень сильно напоминает троянца, который майнит всякие биткоины и прочее. Судя по всему, запускался он через какую-то сложную систему BAT-файлов, копируя себя и сопровождающие библиотеки в %AppData%\Microsoft\sys32, называясь driver.exe или drive.exe и прописываясь в автозагрузку через HKCU\...\Run. Также копия driver.exe шла в %ALLUSERSPROFILE%\Start Menu\Programs\Startup\.
При запуске системы это всё добро стартовало в 5-6 копий и висело в памяти.

Во-вторых, в %temp% лежал файл mslzxvvyt.exe. Сам файл был залочен, при этом handle.exe от Sysinternals затруднялся ответить, что же блочит этот файл. Пришлось грузиться в безопасном режиме, чтобы перенести его из %temp% в папку. Возможно, именно это и есть шифровальщик.

В-третьих, в %userprofile% лежал 37-мегабайтный скрытый hqxejuyz.exe, в котором видны повторяющиеся структуры данных и что-то про Symantec. Поскольку Symantec давно был удалён, и я не помню, чтобы он клал что-то прямо в папку пользователя, тоже отправил в ту же папку, на всякий случай.

В-четвёртых, в папке Windows\System32, а также в %temp% лежали целая куча exe-файлов вида run[7-8 цифр].exe размером ок. 680 кб.

Ну и, наконец, в %temp% был обнаружен wkjtqif.html, в котором в красивую аккуратную табличку белыми буквами на сером фоне были занесены имена некоторых пошифрованных файлов. Что характерно, в конце файла не закрыты теги </table></body></html>, то есть, возможно, генерация файла была прервана."
......................................................
У меня все тоже самое. Пользователь в панике, т.к "зашифрованы" почти все личные фотографии.
Что делать и как с этим бороться?
Благодарю за внимание.
Изменено: Danetak Danetak - 18.11.2016 07:29:55

Ответы

Пред. 1 ... 10 11 12 13 14 ... 22 След.
Делала все по инструкции...  
попытка №2... в первый раз показало очень много ошибок... и жучки какие-то
После перезагрузки компьютера, при второй проверке они пропали. Вот они видны в истории...
111.png (150.02 КБ)
далее,

сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/
----

в АдвКлинере, после завершения сканирования, в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex

остальное удалите по кнопке [b]Очистить[/b]
Помогите пожалуйста с расшифровкой файлов. Зашифровались все фалы .csjtztc
Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !
Код
     


;uVS v3.85.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
exec32 "C:\Program Files (x86)\IObit\Surfing Protection\unins000.exe"
exec32 rundll32 "C:\Program Files (x86)\FromDocToPDF_65\bar\1.bin\65Bar.dll",O mindsparktoolbarkey="FromDocToPDF_65" uninstalltype=IE
exec32 C:\Program Files\NXPProximityInstaller\uninstall.exe
deldirex %SystemDrive%\PROGRAM FILES (X86)\FROMDOCTOPDF_65\BAR\1.BIN
delall %SystemDrive%\PROGRA~2\FROMDO~1\BAR\1.BIN\65SRCHMN.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\_UNINST_34340705.BAT
bl 5D7549CB679533E9C93CBE851868F979 360
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\_UNINST_34340705.BAT
delall D:\SETUP_11.0.3.8.X01_2015_02_05_17_39.EXE
delref \DEVICE\HARDDISKVOLUME8\SETUP_11.0.3.8.X01_2015_02_05_17_39.EXE
delref HTTP://HOME.TB.ASK.COM/INDEX.JHTML?N=780CC0DA&P2=^Y6^XDM007^YYA^GE&PTB=AEA9EC1D-6D3F-4A98-959B-048F96DF437B&SI=CK7ONBKNTMECFUNLWGODGB8AUA
deltmp
delnfr
czoo
restart





-------------
Архив из папки uVS; (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: ZOO_2012-00-20_18-49-40.rar/7z)
... отправить в почту [email protected] ;
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

Пишем по результату.
+
Далее (даже если проблема решена) выполнить лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/
Выбрать Гипер сканирование*. Отчет предоставить для анализа( в своей теме на форуме ) .
*Если Гипер сканирование не запускается:
Выберите первый вариант сканирования ( Угроза сканирования )
Изменено: RP55 RP55 - 27.05.2016 16:11:28
malware logs
Изменено: George Beridze - 27.05.2016 16:11:28
удалите все найденное в малваребайт,

далее,

сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/
----

в АдвКлинере, после завершения сканирования, в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex

остальное удалите по кнопке [b]Очистить[/b]

далее,

выполните рекомендации:
http://forum.esetnod32.ru/forum9/topic3998/
-------------
по расшифровке файлов, зашифрованных ctb locker решения нет.
пробуйте восстановить данные используя другие методы восстановления данных.

1. из архивной копии
2. из теневой копии тома
3. используя утилиты для восстановления удаленных файлов.
--------------
AdwCleaner report
Изменено: George Beridze - 27.05.2016 16:11:28
до этого удалил trojan
Пред. 1 ... 10 11 12 13 14 ... 22 След.
Читают тему