Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

зашифровано в CTBlocker

RSS
Доброе время суток всем.
Ситуация такая как описано ниже. Поймали непонятное и файлы jpg, txt и далее были переименованы с расширением *.ctbl

Вот что нарыл на просторах инета. Взято с форума Касперского. Копирую автора почти полностью, т.к у меня ситуация 1 в 1 как описано ниже.
Ссылка на сайт откуда взята инфа:
http://forum.kaspersky.com/index.php?s=37f92b710fc36f24e1767a1820c9ac01&showtopic=299536&pid=2255970&st=0&#entry2255970

"Добрый день!

Это мой первый пост на этом форуме, поэтому, пожалуйста, поправьте меня, если я что-то предоставил не в том виде, или просто недописал. Постараюсь изложить поподробнее историю.

Поймали странный шифровальщик. После перезапуска системы часть файлов *.txt, *.doc, *.xls, *.xlsx, *.jpg, по традиции, оказались зашифрованными.
Никаких уведомлений, текстовых файлов, угроз и предложений не было обнаружено. Никаких писем и прочего не поступало.

К имени зашифрованного файла добавляется расширение *.ctbl
Размер файла примерно равен размеру оригинала.

Сам компьютер важно было продолжать использовать, поэтому пришлось удалить из реестра записи о запуске файлов. Сами подозрительные файлы сложил в отдельную папку.

При беглом поиске обнаружил несколько групп файлов.

Во-первых, был запущен некий странный процесс minerd.exe, что очень сильно напоминает троянца, который майнит всякие биткоины и прочее. Судя по всему, запускался он через какую-то сложную систему BAT-файлов, копируя себя и сопровождающие библиотеки в %AppData%\Microsoft\sys32, называясь driver.exe или drive.exe и прописываясь в автозагрузку через HKCU\...\Run. Также копия driver.exe шла в %ALLUSERSPROFILE%\Start Menu\Programs\Startup\.
При запуске системы это всё добро стартовало в 5-6 копий и висело в памяти.

Во-вторых, в %temp% лежал файл mslzxvvyt.exe. Сам файл был залочен, при этом handle.exe от Sysinternals затруднялся ответить, что же блочит этот файл. Пришлось грузиться в безопасном режиме, чтобы перенести его из %temp% в папку. Возможно, именно это и есть шифровальщик.

В-третьих, в %userprofile% лежал 37-мегабайтный скрытый hqxejuyz.exe, в котором видны повторяющиеся структуры данных и что-то про Symantec. Поскольку Symantec давно был удалён, и я не помню, чтобы он клал что-то прямо в папку пользователя, тоже отправил в ту же папку, на всякий случай.

В-четвёртых, в папке Windows\System32, а также в %temp% лежали целая куча exe-файлов вида run[7-8 цифр].exe размером ок. 680 кб.

Ну и, наконец, в %temp% был обнаружен wkjtqif.html, в котором в красивую аккуратную табличку белыми буквами на сером фоне были занесены имена некоторых пошифрованных файлов. Что характерно, в конце файла не закрыты теги </table></body></html>, то есть, возможно, генерация файла была прервана."
......................................................
У меня все тоже самое. Пользователь в панике, т.к "зашифрованы" почти все личные фотографии.
Что делать и как с этим бороться?
Благодарю за внимание.
Изменено: Danetak Danetak - 18.11.2016 07:29:55

Ответы

Приареплённые зараженные файли и файл вируса для дешифрации файлов
с [email protected] на [email protected] тема Вирус [Issue 185348F099971326] Account #404731339004 Temporarily Locked]

!Decrypt-All-Files-cababuc.bmp
http://rghost.ru/6MbqQmzxZ
http://rghost.ru/6w7xGGllW
http://rghost.ru/6w7xGGllW
http://rghost.ru/6w7xGGllW
Изменено: bucil bucil - 27.05.2016 15:11:22
ctb locker,
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
Добрый день. Во вложении архив с образом автозапуска.
Небольшое отступление. Письмо с вредоносным ПО было удалено. Но при сканировании одним из антивирусов в темпах были обнаружены два exe файла которые совпадали по датам и времени с происшествием. Они были удалены (есть архив с ними). Что интересно, до этого сканировал систему CureIt  и он их не увидел. Так же там лежал временный файл. Название непонятное, размер целый Гигабайт, по дате и времени тоже совпадает с происшествием.
китайский 360 Internet Security сами ставили?
Мне посоветовали. А что, не стоит? Говорят, что он бесплатный и хорошо работает...
нет, просто часто китайские антивирусы сами скрытно устанавливаются, (baidu, rising и нек. другие)

1. по очистке системы
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"


Код
;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

delall %SystemRoot%\TEMP\HNKEPWJ.EXE
delref HTTP://SINDEX.BIZ/?COMPANY=1
delall %SystemDrive%\DOCUME~1\ADMIN\APPLIC~1\DSITE\UPDATE~1\UPDATE~1.EXE
chklst
delvir

delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
2. по восстановлению документов смотрите архивные копии (если есть), теневых копий, понятно что нет.
3. по расшифровке не поможем. нет расшифровки для CTBlocker
http://rghost.ru/7fDtLQT4F вот ссылка на образ автозапуска. Все сделал по инструкции под локальным админом. ПК в домене произошел инцидент у пользователя с другой учетки.Вроде как CTB-Locker. Являемся Вашими корпоративными клиентами! Просим помочь в решении проблемы.
Спасибо.  
1. по очистке системы (выполнить обязательно)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"


Код
;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\SPEED TEST\SCRIPTHOST.DLL
addsgn 79132211B9E9317E0AA1AB59E2A31205DAFFF47DC4EA942D892B2942AF292811E11BC33D323DC5B72E906C385A16499073379D1F55DAE9AF488BA4A4B20EA93D 64 Besttoolbars.J [ESET-NOD32]

zoo %SystemDrive%\USERS\ABILDINOV_B\APPDATA\ROAMING\NEWNEXT.ME\NENGINE.DLL
addsgn 79132211B9E9317E0AA1AB59A52C1205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A57D0BF193CB50B67FBBABFC9ABACEB02CEA77B22FC706CA34 64 Trojan.Siggen6.685 [DrWeb]

zoo %SystemDrive%\USERS\ABILDINOV_B\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

addsgn 1A85479A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7B04939671C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 Win32/Filecoder.DA [ESET-NOD32]

zoo %SystemDrive%\USERS\ABILDINOV_B\APPDATA\LOCAL\TEMP\OZICEEM.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\SPEED TEST\SCRIPTHOST64.DLL
delall %SystemDrive%\USERS\ABILDI~1\APPDATA\ROAMING\MSNYVW.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE\DAEMONPROCESS.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\EXPRESSFILES\EFUPDATER.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
2. по восстановлению документов смотрите архивные и теневые копии (если есть чистые)

3. по расшифровке документов не поможем. нет расшифровки по ctblocker
Вирус зашифровал документы офис, подставил расширение avewlui. Файлы на сетевом хранилище, все важные и нет бэкапов. Может у кого есть варианты, как расшифровать?
Читают тему