Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

зашифровано в CTBlocker

RSS
Доброе время суток всем.
Ситуация такая как описано ниже. Поймали непонятное и файлы jpg, txt и далее были переименованы с расширением *.ctbl

Вот что нарыл на просторах инета. Взято с форума Касперского. Копирую автора почти полностью, т.к у меня ситуация 1 в 1 как описано ниже.
Ссылка на сайт откуда взята инфа:
http://forum.kaspersky.com/index.php?s=37f92b710fc36f24e1767a1820c9ac01&showtopic=299536&pid=2255970&st=0&#entry2255970

"Добрый день!

Это мой первый пост на этом форуме, поэтому, пожалуйста, поправьте меня, если я что-то предоставил не в том виде, или просто недописал. Постараюсь изложить поподробнее историю.

Поймали странный шифровальщик. После перезапуска системы часть файлов *.txt, *.doc, *.xls, *.xlsx, *.jpg, по традиции, оказались зашифрованными.
Никаких уведомлений, текстовых файлов, угроз и предложений не было обнаружено. Никаких писем и прочего не поступало.

К имени зашифрованного файла добавляется расширение *.ctbl
Размер файла примерно равен размеру оригинала.

Сам компьютер важно было продолжать использовать, поэтому пришлось удалить из реестра записи о запуске файлов. Сами подозрительные файлы сложил в отдельную папку.

При беглом поиске обнаружил несколько групп файлов.

Во-первых, был запущен некий странный процесс minerd.exe, что очень сильно напоминает троянца, который майнит всякие биткоины и прочее. Судя по всему, запускался он через какую-то сложную систему BAT-файлов, копируя себя и сопровождающие библиотеки в %AppData%\Microsoft\sys32, называясь driver.exe или drive.exe и прописываясь в автозагрузку через HKCU\...\Run. Также копия driver.exe шла в %ALLUSERSPROFILE%\Start Menu\Programs\Startup\.
При запуске системы это всё добро стартовало в 5-6 копий и висело в памяти.

Во-вторых, в %temp% лежал файл mslzxvvyt.exe. Сам файл был залочен, при этом handle.exe от Sysinternals затруднялся ответить, что же блочит этот файл. Пришлось грузиться в безопасном режиме, чтобы перенести его из %temp% в папку. Возможно, именно это и есть шифровальщик.

В-третьих, в %userprofile% лежал 37-мегабайтный скрытый hqxejuyz.exe, в котором видны повторяющиеся структуры данных и что-то про Symantec. Поскольку Symantec давно был удалён, и я не помню, чтобы он клал что-то прямо в папку пользователя, тоже отправил в ту же папку, на всякий случай.

В-четвёртых, в папке Windows\System32, а также в %temp% лежали целая куча exe-файлов вида run[7-8 цифр].exe размером ок. 680 кб.

Ну и, наконец, в %temp% был обнаружен wkjtqif.html, в котором в красивую аккуратную табличку белыми буквами на сером фоне были занесены имена некоторых пошифрованных файлов. Что характерно, в конце файла не закрыты теги </table></body></html>, то есть, возможно, генерация файла была прервана."
......................................................
У меня все тоже самое. Пользователь в панике, т.к "зашифрованы" почти все личные фотографии.
Что делать и как с этим бороться?
Благодарю за внимание.
Изменено: Danetak Danetak - 18.11.2016 07:29:55

Ответы

Пред. 1 ... 6 7 8 9 10 ... 22 След.
Цитата
Валентин написал:
На данный момент для данного типа Filecoder увы не имеется возможности дешифрации. Рекомендуется включить расширенную эвристику для запуска исполняемых файлов и модуль ESET Live Grid для снижения вероятности заражения.
Добрый день!
ВЫ скажите пожалуйста, шанс то хоть есть у Вас на подбор дешифратора, или бесполезно ждать и следует заплатить вымогателю?
+
несколько рекомендаций будет уместно для всех читающих данный раздел.


1. Настройте почтовый сервер на действие "заблокировать" или "удалить письмо", содержащее вложенные файлы, которые обычно используются для распространения угроз, таких как .vbs, .bat, .cmd, .js, .hta, .exe, PIF и .SCR файлов.
2. Обучите сотрудников не открывать вложения, если они не ожидают их. Кроме того, не выполнять запуск программ, загруженных из Интернета, пока они не были проверены на наличие вирусов.
например здесь http://virustotal.com
3. не забываем слушать классику.
http://www.youtube.com/watch?v=vFNntCbI0OI
для ctb locker (Critroni) расшифровки нет, и скорее всего не будет, точно так же как и для bat.encoder

пробуем восстановить данные "нетрадиционными" методами:
- восстановлением из сохраненных копий документов (если настроено резервное копирование)
- поиск и восстановление удаленных файлов, например с помощью утилитки photorec.exe из комплекта testdisk
- восстановление файлов из теневых копий, если было настроено теневое копирование данных.
Изменено: santy - 27.05.2016 16:22:02
Здравствуйте!
Пожалуйста помогите у меня проблема. Я по почте получил письмо, открыв его я обнаружил, что мои Майкрософт офисные документы поменяли свое расширение на .qctzlij. Пожалуйста посмотрите вложенный файл.
Спасибо
добавьте образ автозапуска для проверки системы
http://forum.esetnod32.ru/forum9/topic2687/
Цитата
santy написал:
для ctb locker (Critroni) расшифровки нет, и скорее всего не будет, точно так же как и для bat.encoder
А кому тогда писать и платить деньги за расшифровку, если очень надо?!
можно в ООН написать Пак Ги Муну.
а платить деньги за расшифровку злоумышленникам последнее дело.

потратьте деньги на работу CryptoPrevent (на будущее) для улучшения защиты системы, если недостаточно установленного антивируса.
http://www.foolishit.com/vb6-projects/cryptoprevent/
Изменено: santy - 27.05.2016 16:22:02
Цитата
santy написал:
можно в ООН написать Пак Ги Муну.
а платить деньги за расшифровку злоумышленникам последнее дело.
Спасибо за совет. Только всё это уже на будущее...


Если не гарантируют расшифровки даже такие Гуру с авторитетным знанием дела, то что остаётся делать?! У меня зашифрованы все фотографии детей за последние пять лет... :cry:
В итоге заплатили 3 BTC (порядка 700$)..
После оплаты получили ссылку на дешифратор. Отработало. После вроде как никакой подозрительной активности не замечено.
Отчёт по сканированию
Пред. 1 ... 6 7 8 9 10 ... 22 След.
Читают тему