Это мой первый пост на этом форуме, поэтому, пожалуйста, поправьте меня, если я что-то предоставил не в том виде, или просто недописал. Постараюсь изложить поподробнее историю.
Поймали странный шифровальщик. После перезапуска системы часть файлов *.txt, *.doc, *.xls, *.xlsx, *.jpg, по традиции, оказались зашифрованными. Никаких уведомлений, текстовых файлов, угроз и предложений не было обнаружено. Никаких писем и прочего не поступало.
К имени зашифрованного файла добавляется расширение *.ctbl Размер файла примерно равен размеру оригинала.
Сам компьютер важно было продолжать использовать, поэтому пришлось удалить из реестра записи о запуске файлов. Сами подозрительные файлы сложил в отдельную папку.
При беглом поиске обнаружил несколько групп файлов.
Во-первых, был запущен некий странный процесс minerd.exe, что очень сильно напоминает троянца, который майнит всякие биткоины и прочее. Судя по всему, запускался он через какую-то сложную систему BAT-файлов, копируя себя и сопровождающие библиотеки в %AppData%\Microsoft\sys32, называясь driver.exe или drive.exe и прописываясь в автозагрузку через HKCU\...\Run. Также копия driver.exe шла в %ALLUSERSPROFILE%\Start Menu\Programs\Startup\. При запуске системы это всё добро стартовало в 5-6 копий и висело в памяти.
Во-вторых, в %temp% лежал файл mslzxvvyt.exe. Сам файл был залочен, при этом handle.exe от Sysinternals затруднялся ответить, что же блочит этот файл. Пришлось грузиться в безопасном режиме, чтобы перенести его из %temp% в папку. Возможно, именно это и есть шифровальщик.
В-третьих, в %userprofile% лежал 37-мегабайтный скрытый hqxejuyz.exe, в котором видны повторяющиеся структуры данных и что-то про Symantec. Поскольку Symantec давно был удалён, и я не помню, чтобы он клал что-то прямо в папку пользователя, тоже отправил в ту же папку, на всякий случай.
В-четвёртых, в папке Windows\System32, а также в %temp% лежали целая куча exe-файлов вида run[7-8 цифр].exe размером ок. 680 кб.
Ну и, наконец, в %temp% был обнаружен wkjtqif.html, в котором в красивую аккуратную табличку белыми буквами на сером фоне были занесены имена некоторых пошифрованных файлов. Что характерно, в конце файла не закрыты теги </table></body></html>, то есть, возможно, генерация файла была прервана." ...................................................... У меня все тоже самое. Пользователь в панике, т.к "зашифрованы" почти все личные фотографии. Что делать и как с этим бороться? Благодарю за внимание.
Расширение всех файлов \Decrypt All Files pjjzhcf.TXTWin32/Filecoder.DA.Gen троянская программаудален \Мои рисунки\2010\июль\Decrypt All Files pjjzhcf.TXTWin32/Filecoder.DA.Gen троянская Ежемесячный отчет Октябрь.XLS.pjjzhcf Помогите пожалуйста Пример файлов http://www.ex.ua/945872808240
Дмитрий Самсонов, скорее всего шифратор был запущен пользователем из архива, вложенного в письмо. по расшифровке документов надо обращаться в техническую поддержку [email protected]
замечу что расшифровка с каждым разом все сложнее и сложнее. к примеру bat.encoder за пологода так и никто не смог расшифровать. потому надеяться на расшифровку доков - самое последнее дело, надо озаботиться укреплением защитной линии: проверка почты, отсечение спама, информатирование пользователей, наличие антвирусной защиты конечно + регулярное создание копий документов.
Muzaffar Mavlyanov написал: пришло письмо, ESET обнаружил троян : Win32/Kryptik.CVQF при проверке компьютера также найдены: Win32/Filecoder.DA и Win32/Filecoder.GEN
после чего все документы зашифрованы и переименованы в расширение *.kepzscn и *.uzpemje.
Помогите с дешифратором.
здесь поясните в какой последовательности вы это делали?
1. вначале запустили вложение из письма 2. файлы были зашифрованы и переименованы 3. затем сделали проверку письма
или 1. сделали проверку письма антивирусом 2. запустили вложение из письма 3. файлы были после этого зашифрованы
Получил письмо, открыл, а там вложение (архив), открыл вложение, внутри тоже архив, вроде бы ничего особенного, закрыл, спустя примерно час появилось сообщение на экране что все файлы будут зашифрованы если не оплачу какую ту сумму в течении 96 часов, и понеслось. потом решил проверить на вирусы и удалил трояны.
Your documents, photos, databases and other important files have been encryptedwith strongest encryption and unique key, generated for this computer.
Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.
If you see the main locker window, follow the instructions on the locker. Overwise, it's seems that you or your antivirus deleted the locker program. Now you have the last chance to decrypt your files.
2. In the Tor Browser open the http://ohmva4gbywokzqso.onion/ Note that this server is available via Tor Browser only. Retry in 1 hour if site is not reachable.
Copy and paste the following public key in the input form on server. Avoid missprints. QYQMBAJ-QRGZGVO-WWYGW2U-XKYFT64-QZIGIGX-WXZ73YS-EEPY6BE-PJ6MQ3E QTXISUT-GYKKIDJ-YL7TKCN-2DXZOF5-73LLC3L-3TB423Q-BKNAYY2-4TLKAW3 YSO735B-J3XG4QX-NML7ZC3-4W6S5EQ-4Z6SFSN-HNLZUZU-VMYWIQ6-XSCAQIC
Your documents, photos, databases and other important files have been encryptedwith strongest encryption and unique key, generated for this computer.
Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.
If you see the main locker window, follow the instructions on the locker. Overwise, it's seems that you or your antivirus deleted the locker program. Now you have the last chance to decrypt your files.
2. In the Tor Browser open the http://ohmva4gbywokzqso.onion/ Note that this server is available via Tor Browser only. Retry in 1 hour if site is not reachable.
Copy and paste the following public key in the input form on server. Avoid missprints. QYQMBAJ-QRGZGVO-WWYGW2U-XKYFT64-QZIGIGX-WXZ73YS-EEPY6BE-PJ6MQ3E QTXISUT-GYKKIDJ-YL7TKCN-2DXZOF5-73LLC3L-3TB423Q-BKNAYY2-4TLKAW3 YSO735B-J3XG4QX-NML7ZC3-4W6S5EQ-4Z6SFSN-HNLZUZU-VMYWIQ6-XSCAQIC
Your documents, photos, databases and other important files have been encryptedwith strongest encryption and unique key, generated for this computer.
Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.
If you see the main locker window, follow the instructions on the locker. Overwise, it's seems that you or your antivirus deleted the locker program. Now you have the last chance to decrypt your files.
2. In the Tor Browser open the http://ohmva4gbywokzqso.onion/ Note that this server is available via Tor Browser only. Retry in 1 hour if site is not reachable.
Copy and paste the following public key in the input form on server. Avoid missprints. QYQMBAJ-QRGZGVO-WWYGW2U-XKYFT64-QZIGIGX-WXZ73YS-EEPY6BE-PJ6MQ3E QTXISUT-GYKKIDJ-YL7TKCN-2DXZOF5-73LLC3L-3TB423Q-BKNAYY2-4TLKAW3 YSO735B-J3XG4QX-NML7ZC3-4W6S5EQ-4Z6SFSN-HNLZUZU-VMYWIQ6-XSCAQIC
Follow the instructions on the server.
У кого есть решение?
У меня аналогичная ситуация, зашифровало файлы в разширение *.ffeguqm, а у Вас?
Аналогичная проблема как и у Александра Полянского.
Пользователю пришел архив, после открытия архива через какое то время у файлов с расширением doc(x), xls(x), txt поменялось расширение на .bgbhkxj
Зловред был убит вручную (в безопасном режиме drweb cureIt) на него не чего не указал. На данный момент вновь созданные файлы не шифруются, но, старые остались с измененными разрешениями. Дешифраторы касперского, dr web расшифровать файлы не могут. Если у кого то появится информация, либо дешифратор, прошу уведомить в данной теме (если не сложно в личку). Ждем, надеемся и верим...
Александр Полянский написал: Аналогичная проблема. Нужен дешифратор
Your documents, photos, databases and other important files have been encryptedwith strongest encryption and unique key, generated for this computer.
Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.
If you see the main locker window, follow the instructions on the locker. Overwise, it's seems that you or your antivirus deleted the locker program. Now you have the last chance to decrypt your files.
2. In the Tor Browser open the http://ohmva4gbywokzqso.onion/ Note that this server is available via Tor Browser only. Retry in 1 hour if site is not reachable.
Copy and paste the following public key in the input form on server. Avoid missprints. QYQMBAJ-QRGZGVO-WWYGW2U-XKYFT64-QZIGIGX-WXZ73YS-EEPY6BE-PJ6MQ3E QTXISUT-GYKKIDJ-YL7TKCN-2DXZOF5-73LLC3L-3TB423Q-BKNAYY2-4TLKAW3 YSO735B-J3XG4QX-NML7ZC3-4W6S5EQ-4Z6SFSN-HNLZUZU-VMYWIQ6-XSCAQIC
Follow the instructions on the server.
У кого есть решение?
У меня аналогичная ситуация, зашифровало файлы в разширение *.ffeguqm, а у Вас?
Исходя из все возможных форумов, выявил тот факт, что расширение меняется в произвольной форме. Но, ссылки одинаковые. Видимо и разновидность гада одинаковая (в %temp%) было обнаружено 2 exe файла. Так же висела скрытая задача в авто запуске.