Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

зашифровано в CTBlocker

RSS
Доброе время суток всем.
Ситуация такая как описано ниже. Поймали непонятное и файлы jpg, txt и далее были переименованы с расширением *.ctbl

Вот что нарыл на просторах инета. Взято с форума Касперского. Копирую автора почти полностью, т.к у меня ситуация 1 в 1 как описано ниже.
Ссылка на сайт откуда взята инфа:
http://forum.kaspersky.com/index.php?s=37f92b710fc36f24e1767a1820c9ac01&showtopic=299536&pid=2255970&st=0&#entry2255970

"Добрый день!

Это мой первый пост на этом форуме, поэтому, пожалуйста, поправьте меня, если я что-то предоставил не в том виде, или просто недописал. Постараюсь изложить поподробнее историю.

Поймали странный шифровальщик. После перезапуска системы часть файлов *.txt, *.doc, *.xls, *.xlsx, *.jpg, по традиции, оказались зашифрованными.
Никаких уведомлений, текстовых файлов, угроз и предложений не было обнаружено. Никаких писем и прочего не поступало.

К имени зашифрованного файла добавляется расширение *.ctbl
Размер файла примерно равен размеру оригинала.

Сам компьютер важно было продолжать использовать, поэтому пришлось удалить из реестра записи о запуске файлов. Сами подозрительные файлы сложил в отдельную папку.

При беглом поиске обнаружил несколько групп файлов.

Во-первых, был запущен некий странный процесс minerd.exe, что очень сильно напоминает троянца, который майнит всякие биткоины и прочее. Судя по всему, запускался он через какую-то сложную систему BAT-файлов, копируя себя и сопровождающие библиотеки в %AppData%\Microsoft\sys32, называясь driver.exe или drive.exe и прописываясь в автозагрузку через HKCU\...\Run. Также копия driver.exe шла в %ALLUSERSPROFILE%\Start Menu\Programs\Startup\.
При запуске системы это всё добро стартовало в 5-6 копий и висело в памяти.

Во-вторых, в %temp% лежал файл mslzxvvyt.exe. Сам файл был залочен, при этом handle.exe от Sysinternals затруднялся ответить, что же блочит этот файл. Пришлось грузиться в безопасном режиме, чтобы перенести его из %temp% в папку. Возможно, именно это и есть шифровальщик.

В-третьих, в %userprofile% лежал 37-мегабайтный скрытый hqxejuyz.exe, в котором видны повторяющиеся структуры данных и что-то про Symantec. Поскольку Symantec давно был удалён, и я не помню, чтобы он клал что-то прямо в папку пользователя, тоже отправил в ту же папку, на всякий случай.

В-четвёртых, в папке Windows\System32, а также в %temp% лежали целая куча exe-файлов вида run[7-8 цифр].exe размером ок. 680 кб.

Ну и, наконец, в %temp% был обнаружен wkjtqif.html, в котором в красивую аккуратную табличку белыми буквами на сером фоне были занесены имена некоторых пошифрованных файлов. Что характерно, в конце файла не закрыты теги </table></body></html>, то есть, возможно, генерация файла была прервана."
......................................................
У меня все тоже самое. Пользователь в панике, т.к "зашифрованы" почти все личные фотографии.
Что делать и как с этим бороться?
Благодарю за внимание.
Изменено: Danetak Danetak - 18.11.2016 07:29:55

Ответы

Пред. 1 ... 7 8 9 10 11 ... 22 След.
Цитата
Alexey Soloviev написал:
В итоге заплатили 3 BTC (порядка 700$)..
После оплаты получили ссылку на дешифратор. Отработало. После вроде как никакой подозрительной активности не замечено.
Подскажите пожалуйста как и кому заплатили? Разшифровали все файлы?
 
Цитата
Дмитрий Полищук написал:
Если не гарантируют расшифровки даже такие Гуру с авторитетным знанием дела, то что остаётся делать?! У меня зашифрованы все фотографии детей за последние пять лет...
откопируйте зашифрованные файлы на отдельный носитель. дети вырастут - расшифруют. (шучу, не обижайтесь).
криптостойкие алгоритмы шифрования для того и созданы чтобы даже гуру шифрования не смогли их расшифровать за конечное время.
а пользуются их результатами, к сожалению, интеллектуальные злоумышленники и вымогатели.
Изменено: santy - 27.05.2016 16:22:59
Цитата
santy написал:
откопируйте зашифрованные файлы на отдельный носитель. дети вырастут - расшифруют. (шучу, не обижайтесь).
Юмор оценил. спасибо! :)


Цитата
santy написал:
а пользуются их результатами, к сожалению, интеллектуальные злоумышленники и вымогатели.
За любой интеллект, видать, нужно платить. Даже за интеллект злого гения... :|
В Malwarebytes - чисто.
Цитата
Александр Вивдыч написал:

Цитата
Alexey Soloviev   написал:
В итоге заплатили 3 BTC (порядка 700$)..
После оплаты получили ссылку на дешифратор. Отработало. После вроде как никакой подозрительной активности не замечено.
Подскажите пожалуйста как и кому заплатили? Разшифровали все файлы?

Ищите на дисках файл Decrypt All Files <ваше расширение файлов>.txt
В нем будет ваш public key и адрес сайта в домене onion, где данный ключ надо ввести.
После авторизации по ключу вас перебросит на страницу с инструкцией по оплате, суммой и ID биткоин-кошелька, на который надо сделать перевод. На этой же странице предлагается проверить дешифратор один раз.
После того как сделаете перевод минут через 15-30 (у нас заняло 7) обновляете страницу, вас редиректит на страницу со ссылкой на дешифратор и вашим privatkey.
Далее процедуру не описываю, т.к. ей уже занимались наши СА, вероятно сам исполняемый файл запускается с инфицированной машины (т.к. все ключи судя по всему формируются на основании железа) и обходит файлы с заданным расширением на доступных дисках.

Скрытый текст
Цитата
Alexey Soloviev написал:

Цитата
Александр Вивдыч   написал:
Цитата
Alexey Soloviev   написал:
В итоге заплатили 3 BTC (порядка 700$)..
После оплаты получили ссылку на дешифратор. Отработало. После вроде как никакой подозрительной активности не замечено.
Подскажите пожалуйста как и кому заплатили? Разшифровали все файлы?
Ищите на дисках файл Decrypt All Files <ваше расширение файлов>.txt
В нем будет ваш public key и адрес сайта в домене onion, где данный ключ надо ввести.
После авторизации по ключу вас перебросит на страницу с инструкцией по оплате, суммой и ID биткоин-кошелька, на который надо сделать перевод. На этой же странице предлагается проверить дешифратор один раз.
После того как сделаете перевод минут через 15-30 (у нас заняло 7) обновляете страницу, вас редиректит на страницу со ссылкой на дешифратор и вашим privatkey.
Далее процедуру не описываю, т.к. ей уже занимались наши СА, вероятно сам исполняемый файл запускается с инфицированной машины (т.к. все ключи судя по всему формируются на основании железа) и обходит файлы с заданным расширением на доступных дисках.

    Скрытый текст        
 

 
Спасибо..
Здравствуйте, проблема возникла у знакомых людей, открыли письмо, затем компьютер задумался и после перезагрузки естественно блокировочное окно, ящик отнесли в сервисный центр, там от окна избавились, но все файлы .doc и jpg в конце прописанны под расширением .jbatspc.
Знакомая названия письма не помнит, но точно запомнила что доставлено якобы с доменом .de.
Понимаю что надежды практически нет, но всё же, антивирус не нод32.
раз никто ничего не помнит, пробуем восстановить данные традиционными методами восстановления.

http://forum.esetnod32.ru/forum35/topic11575/
ну что, никто не поможет(((
А остаётся ли шанс на расшифровку, если все файлы вируса удалены с ПК?
Пред. 1 ... 7 8 9 10 11 ... 22 След.
Читают тему