Вход
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

зашифровано с расширением id-*[email protected]* , возможно, Filecoder.DG

1 2 3 След.
RSS
 
Евгений Афанасьев
Евгений Афанасьев
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 06.01.2016
Размещено 06.01.2016 14:08:59
Всем привет. 2.01.16 прилетело сие чудо - [email protected].
Первый раз увидел такого типа вирус - создает 2 файла, первый содержит имя оригинала и текст {75B6FD42-3SKE-818D-9865-3YTA2892536Y}[email protected] , второй - имя оригинала и  [email protected].
В инете тишина про него. Есть ли какая информация у вас?

Я понимаю, что тут, как и на любом форуме антивирусных компаний помогают с расшифровкой только при наличии лицензии, НО, если оно все таки есть, готовы приобрести 20 корпоративных. Лишний раз платить кому то за пустые надежды не хочу.

Зараженные файлы: ТЫК пароль 123
Полный образ автозапуска.  ТЫК
 
santy
santy
Администратор
Сообщений: 17837
Баллов: 14269
Регистрация: 16.03.2010
Размещено 06.01.2016 14:59:38
судя по образу система уже очищена. возможно это файл поучаствовал в шифровании
C:\USERS\BUH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{75B6FD42-3SKE-818D-9865-3YTA2892536Y}.EXE
посмотрите, нет ли его среди удаленных файлов.

с расшифровкой помогаем если есть такая возможность, но в основном расшифровкой занимаются в техподдержке, поскольку они непосредственно контактируют с вирлабом.
Изменено: santy - 13.06.2016 16:09:00
[ Как создать образ автозапуска? ]
 
Евгений Афанасьев
Евгений Афанасьев
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 06.01.2016
Размещено 06.01.2016 15:04:07
Кстати насчет C:\USERS\BUH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{75B6FD42-3SKE-818D-9865-3YTA2892536Y}.EXE  там была только картинка Картинка"
 
santy
santy
Администратор
Сообщений: 17837
Баллов: 14269
Регистрация: 16.03.2010
Размещено 06.01.2016 15:19:15
судя по наименованию зашифрованного файла это близко к encoder.741
вот варианты, которые были ранее:
[email protected]
[email protected]
есть и другие, аналогочные
(это было в 2015)
[ Как создать образ автозапуска? ]
 
Andrew Komissarov
Andrew Komissarov
Пользователь
Сообщений: 35
Баллов: 17
Регистрация: 21.10.2015
Размещено 06.01.2016 18:07:23
Судя по адресу [email protected] на картинке это дальнейшее развитие Trojan-Ransom.Win32.Cryakl (Trojan.Encoder.567).
 
Евгений Афанасьев
Евгений Афанасьев
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 06.01.2016
Размещено 06.01.2016 18:20:04
Цитата
Andrew Komissarov написал:
Судя по адресу  [email protected]  на картинке это дальнейшее развитие Trojan-Ransom.Win32.Cryakl (Trojan.Encoder.567).
Нашел кто то под него дешифратор?
 
Andrew Komissarov
Andrew Komissarov
Пользователь
Сообщений: 35
Баллов: 17
Регистрация: 21.10.2015
Размещено 06.01.2016 18:32:07
Цитата
Евгений Афанасьев написал:
Цитата
Andrew Komissarov   написал:
Судя по адресу   [email protected]   на картинке это дальнейшее развитие Trojan-Ransom.Win32.Cryakl (Trojan.Encoder.567).
Нашел кто то под него дешифратор?
Для последней версии дешифратора не было.
Надо чтобы аналитики на новую посмотрели, может авторы там где-то напортачили.
Но боюсь это только после праздников.
 
santy
santy
Администратор
Сообщений: 17837
Баллов: 14269
Регистрация: 16.03.2010
Размещено 06.01.2016 18:39:12
Цитата
Andrew Komissarov написал:
Судя по адресу [email protected] на картинке это дальнейшее развитие Trojan-Ransom.Win32.Cryakl (Trojan.Encoder.567).
но если посмотреть содержимое зашифрованного файла, например в winhex, то мы не видим конечных блоков, которые характерны для вариантов Cryakl
1.2
{ENCRYPTSTART}
{GLSYELQWDIOUAGMRYEJPWBHNTZFLRXCJOUAG-14.12.2015 [email protected]@408503170}{18432}{CL 1.2.0.0}{32 завод .xls}{F413C6BC68060C5A02B7C9A70B9CBC3B}
{ENCRYPTENDED}
1.1
{GMHHVGBCABPQDWFGGHQRDXSMFGWWJJFFRLCC-14.08.2015 [email protected]@595790416}{2739210}{CL 1.1.0.0}{Страница 5 буклета.docx}{1BFAC46297582DD0CBDE4B2DFE04A7BC}
1.0
{ENCRYPTSTART}
{JQWBHLQVAFKPUZEINRWBGLQUZEJOSXBGLQVA-14.07.2015 [email protected]@145100333}{19968}{CL 1.0.0.0}{график.xls}{FCB99541099F2E5EA56CF56AEC5134EB}
{ENCRYPTENDED}
0.0.1.0
{ENCRYPTSTART}{SAXQDBGRIZXBFKHFQUFJOLDHMQOFWULCTXIT-29.06.2015 [email protected]@247880196}{27136}{CL 0.0.1.0}{смены.doc}{026214F2BE27706396C7114B229AA9DA}
поэтому развитие .Cryakl здесь не просматривается.
Изменено: santy - 13.06.2016 16:09:00
[ Как создать образ автозапуска? ]
 
Andrew Komissarov
Andrew Komissarov
Пользователь
Сообщений: 35
Баллов: 17
Регистрация: 21.10.2015
Размещено 06.01.2016 18:57:55
Santy
Я исходил только из контактного адреса.
Значит что-то новое.
Но это не единичное заражение. На форуме DrWeb-а есть аналогичные обращения.
Боюсь волна начнется 11-го числа, когда большинство людей на работу выйдет.
 
santy
santy
Администратор
Сообщений: 17837
Баллов: 14269
Регистрация: 16.03.2010
Размещено 06.01.2016 19:04:05
скорее всего, этот шифратор уже в ходу, поменяли только почту
вот типичный случай
[email protected]
http://forum.esetnod32.ru/forum35/topic12799/

по моему здесь характерно, то что взламывают доступ к серверам и шифруют файлы

и файлики в этой теме аналогичные
Цитата
zoo %SystemDrive%\USERS\VIKTOR\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\{39B8FD42-81KE-838D-9865-3YTA194436F}.EXE
delall %SystemDrive%\USERS\VIKTOR\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\{39B8FD42-81KE-838D-9865-3YTA194436F}.EXE
хотя не факт, что этот файл имеет прямое отношение к шифратору

если погуглить по [email protected], то можно найти подобные темы на других форумам: на ЛК например, и там тоже шифрование было выполнено после взлома доступа по RDP
Изменено: santy - 13.06.2016 16:09:00
[ Как создать образ автозапуска? ]
 
1 2 3 След.
Читают тему (гостей: 1)