Вход
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

зашифровано с расширением id-*[email protected]* , возможно, Filecoder.DG

RSS
 
Евгений Афанасьев
Евгений Афанасьев
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 06.01.2016
Размещено 06.01.2016 14:08:59
Всем привет. 2.01.16 прилетело сие чудо - [email protected].
Первый раз увидел такого типа вирус - создает 2 файла, первый содержит имя оригинала и текст {75B6FD42-3SKE-818D-9865-3YTA2892536Y}[email protected] , второй - имя оригинала и  [email protected].
В инете тишина про него. Есть ли какая информация у вас?

Я понимаю, что тут, как и на любом форуме антивирусных компаний помогают с расшифровкой только при наличии лицензии, НО, если оно все таки есть, готовы приобрести 20 корпоративных. Лишний раз платить кому то за пустые надежды не хочу.

Зараженные файлы: ТЫК пароль 123
Полный образ автозапуска.  ТЫК

Ответы

Пред. 1 2 3
 
Евгений Купреев
Евгений Купреев
Пользователь
Сообщений: 1
Регистрация: 08.01.2016
Размещено 08.01.2016 10:29:05
Также поймали такую гадость 2 января (  интересно, это через запуск вложения из почты произошло или иначе ? (я не сисадмин). И стоит ли перечислять мошенникам деньги или это кидалово? Также вопрос, будет ли дешифратор общий для всех или для каждой атаки он уникальный? Спасибо.
 
Andrew Komissarov
Andrew Komissarov
Пользователь
Сообщений: 35
Баллов: 17
Регистрация: 21.10.2015
Размещено 08.01.2016 12:34:10
Цитата
Евгений Купреев написал:
Также поймали такую гадость 2 января (  интересно, это через запуск вложения из почты произошло или иначе ? (я не сисадмин). И стоит ли перечислять мошенникам деньги или это кидалово? Также вопрос, будет ли дешифратор общий для всех или для каждой атаки он уникальный? Спасибо.
Если у вас действительно такой же шифровальщик, то заражение происходит путем подбора паролей удаленного доступа и ручного запуска шифровальщика на вашем компьютере (сервере).
Поэтому если у вас настроен удаленный доступ к компьютеру, то поменяйте все пароли пользователей.
Расшифровкой занимается техподдержка, поэтому если у вас есть лицензия на антивирус ESET пишите на [email protected]
На форуме вам могут помочь с удалением остатков вируса, если вы предоставите образ автозапуска системы.
 
Денис Мережников
Денис Мережников
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 09.02.2016
Размещено 09.02.2016 13:20:04
Добрый день, на сервер компании как-то попал вирус-шифровальщик, который зашифровал большинство файлов в таком формате http://c2n.me/3u3HALp (зашифровались pdf, xls, xlsx, базы 1С).
Основной файл содержит следующий текст {72N6FD42-3SKE-818D-9865-3YAH2897396Y}[email protected]
Скорее всего попал через одного пользователя, у него в папке C:\Users\1C\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup создан файл-картинка http://c2n.me/3u3IbZV и картинка фона рабочего стола такая же.

Лицензия имеется, в техподдержку написал, обращение зарегистрировано под номером 1074165

Образ автозапуска прилагаю
Изменено: Денис Мережников - 13.06.2016 16:06:01
 
santy
santy
Администратор
Сообщений: 17909
Баллов: 28653
Регистрация: 16.03.2010
Размещено 09.02.2016 16:20:45
Денис,
поищите среди удаленных этот файл
C:\USERS\20D3~1\APPDATA\LOCAL\TEMP\89\ASHBWHGOGIVNSNMLM.EXE

по очистке системы выполните:

- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v385c
OFFSGNSAVE
zoo G:\JSYJVXNM.BAT
addsgn 988C1FF2342A4C9A74D7AEB1DB5C120525013B1E0AEA1F780CA62D37A45F4F1ADC02B7377E5516073B09895F855049713BDB4BBE969CB0A77B7F2D3A17C56473 8 policies.0225

zoo G:\TEMZNRJKVQ.BAT
zoo G:\LYIXNTNQDAIV.BAT
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\ДЕН\APPDATA\LOCAL\TEMP\{4BA9B26E-4670-4C21-A7CD-D10DABC21097}\{147CDBFE-A00A-43EB-9724-0A6211BFEF26}.TMP

delref %SystemDrive%\USERS\20D3~1\APPDATA\LOCAL\TEMP\89\ASHBWHGOGIVNSNMLM.EXE

deltmp
delnfr
;-------------------------------------------------------------

quit

без перезагрузки, пишем о старых и новых проблемах.
------------
[ Как создать образ автозапуска? ]
 
Денис Мережников
Денис Мережников
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 09.02.2016
Размещено 09.02.2016 17:20:23
Файла нигде нет. Все выполнил. Как восстановить зашифрованные файлы?
 
santy
santy
Администратор
Сообщений: 17909
Баллов: 28653
Регистрация: 16.03.2010
Размещено 10.02.2016 08:33:39
Денис Мережников,
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
 
Сергей Дмитриев
Сергей Дмитриев
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 12.10.2015
Размещено 25.02.2016 19:36:49
Зашифрованы файлы расширение [email protected] требований не выдвигалось.
Зашифрованы DOC DOCX XLS XLSX DBF
Остается основной файл с вот таким содержимым {72N6FD42-3SKE-818D-9865-3YAH2897396Y}[email protected] и появляется рядом шифрованный файл с расширением [email protected]
Установлен лицензионный антивирус.
Просим помощи в дешифровке.
 
santy
santy
Администратор
Сообщений: 17909
Баллов: 28653
Регистрация: 16.03.2010
Размещено 25.02.2016 20:05:43
Сергей,
добавьте образ автозапуска,
как сделать, смотрите в подписи.
[ Как создать образ автозапуска? ]
 
Сергей Дмитриев
Сергей Дмитриев
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 12.10.2015
Размещено 25.02.2016 20:17:58
Образ автозапуска
 
santy
santy
Администратор
Сообщений: 17909
Баллов: 28653
Регистрация: 16.03.2010
Размещено 25.02.2016 20:55:51
Сергей,
по образу все чисто.
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
 
Пред. 1 2 3
Читают тему