Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

зашифровано Filecoder.Q , Filecoder.Q / Xorist

RSS
 
Ivan22
Ivan22
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 10.02.2012
Размещено 10.02.2012 13:31:18
стоит ESET Smart Security Business Edition (EAV-17128057) операционка WinXP со всеми последними обновлениями (обновляется регулярно)
вчера перестали на нескольких компьютерах запускаться файлы офиса, т.к. они оказались переименованы и зашифрованы, +появился файл
ДЕБЛОКИРОВКА.txt с текстом

Внимание! На вашем компьютере,обнаружено нелицензионное
программное обеспечение.Доступ к вашим файлам запрещен !
Чтобы восстановить свои файлы и получить к ним доступ,
свяжитесь с нашим отделом безопасности  [email protected]
Идентификатор  29523456467
У вас есть 5 попыток ввода кода. При превышении этого
количества, все данные необратимо испортятся. Будьте
внимательны при вводе кода!

файлы имеют вид *.xls.MICROSOFT
также пострадали файла *.rar, *.pdf, *.doc
файл ДЕБЛОКИРОВКА.txt имеется в каждой вложенной папке

вот пример файлов
http://files.mail.ru/L4KZ1K
Изменено: Ivan22 - 19.01.2017 07:08:13

Ответы

Пред. 1 ... 10 11 12 13 14 ... 21 След.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 28.02.2012 18:09:09
Ну все что можно я уже описал.

Если возникают сложности могу помочь удаленно через программу TeamViewer.
 
benyb
benyb
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 17.02.2012
Размещено 28.02.2012 18:10:24
попробую пока сама разобраться! спасибо
 
benyb
benyb
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 17.02.2012
Размещено 05.03.2012 23:27:46
Сработало только один раз! три папки он перекодировал,а дальше не получается
 
Валентин
Валентин
Администратор
Сообщений: 5244
Баллов: 4205
Регистрация: 12.05.2010
Размещено 07.03.2012 11:15:28
benyb, что именно не получается? Вы вводите команду таким же образом, как описано выше?
ESET Technical Support
 
benyb
benyb
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 17.02.2012
Размещено 07.03.2012 12:59:15
да,то есть один раз получилось. я ввела команду,открылся декодер и начал работать. при попытки перекодировать следующую папку декодер открывается на секунду и все заканчивается
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 07.03.2012 13:03:06
В месте с файлов декодера появляется файл лога, посмотрите в нем сообщение.
 
Voidwalker
Voidwalker
Пользователь
Сообщений: 20
Баллов: 10
Регистрация: 30.04.2010
Размещено 07.03.2012 13:11:22
Очередной вариант шифровщика.
Шифрует файлы с расширением .doc .docx .xls .xlsx .rtf .dbf .bmp .jpg .tif .zip .rar .7z (возможно больше), добавляя к ним расширение .LOCKDIR. Создает свою копию со случайным именем во временной папке пользователя, там же создает файл .bmp, также со случайным именем, к-рым заменяет обои Рабочего стола (в приложении).
Прописывает в реестр:
Код
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.LOCKDIR]

[HKEY_CLASSES_ROOT\NMMQLIXLWARCPZN]
@="CRYPTED!"

[HKEY_CLASSES_ROOT\NMMQLIXLWARCPZN\DefaultIcon]
@="C:\\DOCUME~1\\имя_пользователя\\LOCALS~1\\Temp\\x3t7cQ4jOXy8kq0.exe,0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NMMQLIXLWARCPZN]
@="CRYPTED!"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NMMQLIXLWARCPZN\DefaultIcon]
@="C:\\DOCUME~1\\имя_пользователя\\LOCALS~1\\Temp\\x3t7cQ4jOXy8kq0.exe,0"
(конкретные имена и пути могут отличаться в зависимости от разновидности вируса и ОС)

Добавляет в каждую папку файл ДЕБЛОКИРОВКА ФАЙЛОВ.txt с содержимым
Цитата
Внимание! На вашем компьютере,обнаружено нелицензионное
программное обеспечение.Доступ к вашим файлам запрещен !
Чтобы восстановить свои файлы и получить к ним доступ,
свяжитесь с нашим отделом безопасности [email protected]
Идентификатор 86548764 (46)
Ваш компьютер поставлен на таймер самоуничтожения 24 часа , по истечении этого времени вся информация будет безвозвратно стёрта. У вас есть 5 попыток ввода кода. При превышении этого количества, все данные необратимо удаляться. Будьте
внимательны при вводе кода !
Заранее благодарим за оплату ! Мы ценим ваш вклад в развитие инновационно-технического прогресса.
После шифрования выводит сообщение (в приложении).

NOD32 v4.2 детектирует вирус только при включении расширенной эвристики, а поскольку при ее включении выдается предупреждение о возможном снижении производительности системы, то большинство ее (расширенную эвристику) не включают, особенно если речь идет об относительно слабых машинах.

NOD32 v5.0 с базами от 08.2011 и максимальными настройками (стоял на виртуальной машине) вирус "не увидел".

На 06.03.2012, судя по virustotal, детект присутствует только у 8ми антивирусов.
По состоянию на "сейчас" - у 11 (virustotal)

-------------
В наличии есть пример исходного файла, зашифрованного, сам шифровщик, код расшифровки. Если вирлаб заинтересует, могу выложить.
msg_001.png (6.38 КБ)
 
benyb
benyb
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 17.02.2012
Размещено 07.03.2012 13:14:15
ESET Win32/Filecoder.Q cleaner v1.2 (Feb 20 2012) Copyright © 1992-2012 ESET, spol. s r.o. All rights reserved.
started: Mon Mar 05 22:33:32 2012

found 185 file(s)
decoded and written 185 file(s)
Errors : 0
ended: Mon Mar 05 22:33:52 2012



и вот такие сообщения

ESET Win32/Filecoder.Q cleaner v1.2 (Feb 20 2012) Copyright © 1992-2012 ESET, spol. s r.o. All rights reserved.
usage: decoder.exe <id> <filename or directory>
decoded and written 0 file(s)
Errors : 0
ended: Mon Mar 05 22:32:03 2012
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 07.03.2012 13:15:06
А смысл? Завтра сменится код, и то что Вы выложите никому не нужно будет.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 07.03.2012 13:17:34
Попробуйте указать просто диск без папки, пускай декодер пройдется по всему диску.
 
Пред. 1 ... 10 11 12 13 14 ... 21 След.
Читают тему