зашифровано Filecoder.Q , Filecoder.Q / Xorist

RSS

Сообщений: 8

Баллов: 4

Регистрация: 10.02.2012

Размещено 10.02.2012 13:31:18

стоит ESET Smart Security Business Edition (EAV-17128057) операционка WinXP со всеми последними обновлениями (обновляется регулярно)
вчера перестали на нескольких компьютерах запускаться файлы офиса, т.к. они оказались переименованы и зашифрованы, +появился файл
ДЕБЛОКИРОВКА.txt с текстом

Внимание! На вашем компьютере,обнаружено нелицензионное
программное обеспечение.Доступ к вашим файлам запрещен !
Чтобы восстановить свои файлы и получить к ним доступ,
свяжитесь с нашим отделом безопасности [email protected]
Идентификатор 29523456467
У вас есть 5 попыток ввода кода. При превышении этого
количества, все данные необратимо испортятся. Будьте
внимательны при вводе кода!

файлы имеют вид *.xls.MICROSOFT
также пострадали файла *.rar, *.pdf, *.doc
файл ДЕБЛОКИРОВКА.txt имеется в каждой вложенной папке

вот пример файлов
http://files.mail.ru/L4KZ1K

Изменено: Ivan22 - 19.01.2017 07:08:13

Ответы

Пред. 1 ... 12 13 14 15 16 ... 21 След.

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 07.03.2012 19:13:58

Я уже писал не раз, каждый новый вирус имеет НОВЫЙ алгоритм и сделать один для всех просто нереально!

Сообщений: 2

Баллов: 1

Регистрация: 07.03.2012

Размещено 07.03.2012 20:06:13

тот же ИД (8765437654), что и в теме: http://forum.esetnod32.ru/forum35/topic4292/
пользователь после самолечения удалил файл вируса. выложите, пожалуйста, ссылку на декодер, который делался по предыдущей теме, а то там ссылки нет.

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 07.03.2012 20:29:30

А декодера нет, потому что вирус так и не был прислан!

Если есть файл вируса, готовы помочь в Вашей проблеме.

Сообщений: 2

Баллов: 1

Регистрация: 07.03.2012

Размещено 07.03.2012 22:27:47

файл вируса был удален =(
есть только два файла: зашифрованный и оригинальный (несколько таких пар). если они помогут, то могу выложить.

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 07.03.2012 22:33:54

Не помогут!
Нужен файл вируса.

Сообщений: 8

Баллов: 4

Регистрация: 11.03.2012

Размещено 11.03.2012 18:23:22

Добрый день всем! Вчера словил вирус, который был прислан в прикреплённом письме от имени Сбербанка c мыла:[email protected] ! Писали, что мол есть какая то задолженность перед банком, а подробная информация в файле.
Вот скрин письма: http://s017.radikal.ru/i403/1203/14/a9a234bb68e7.jpg
После открытия прикреплённого файла на рабочем столе в течении нескольких минут появилось следующее:
http://s019.radikal.ru/i621/1203/d5/ed07b53ff3f7.jpg

И вот с этого момента начались проблемы. Практически во всех папках появился текстовый документ "Деблокировка файлов". В нём всё тот же текст: "Внимание! На вашем компьютере,обнаружено нелицензионное
программное обеспечение.Доступ к вашим файлам запрещен !
Чтобы восстановить свои файлы и получить к ним доступ,
свяжитесь с нашим отделом безопасности [email protected]
Идентификатор 86548764 (110)
Ваш компьютер поставлен на таймер самоуничтожения 24 часа , по истечении этого времени вся информация будет безвозвратно стёрта. У вас есть 5 попыток ввода кода. При превышении этого количества, все данные необратимо удаляться. Будьте внимательны при вводе кода !
Заранее благодарим за оплату ! Мы ценим ваш вклад в развитие инновационно-технического прогресса. "
Причём после перезагрузки ПК идентификатор на картинке рабочего стола меняется. Картинка та же, а номер другой. Решил написать этим мудилам, что хочу вернуть файлы. Они выставили цену 3500 рублей(

Вся фигня в том, что файлы на компьютере заблокированы. С каждым часом всё больше файлов зашифровывается и их не открыть. Причём это касается файлов любых форматов!
Файлы выглядят так: http://s019.radikal.ru/i623/1203/68/a7217eced550.jpg

Вот один из зашифрованных файлов: http://www.getzilla.net/files/3072913/04032012887.jpg.lockfile.html

Мошенники требуют с меня 3500 рублей за то, чтобы расшифровать файлы назад.
Помогите! Очень много важных вещей на компьютере(

Изменено: Jokerok7 - 08.07.2016 07:27:26

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 11.03.2012 18:29:34

Вирус Прописывает в реестр свой файл
Код

Код
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lockfile] [HKEY_CLASSES_ROOT\NMMQLIXLWARCPZN] @="CRYPTED!" [HKEY_CLASSES_ROOT\NMMQLIXLWARCPZN\DefaultIcon] @="C:\\DOCUME~1\\имя_пользователя\\LOCALS~1\\Temp\\x3t7cQ4jOXy8kq0.exe,0" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NMMQLIXLWARCPZN] @="CRYPTED!" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NMMQLIXLWARCPZN\DefaultIcon] @="C:\\DOCUME~1\\имя_пользователя\\LOCALS~1\\Temp\\x3t7cQ4jOXy8kq0.exe,0"

Код

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lockfile]

[HKEY_CLASSES_ROOT\NMMQLIXLWARCPZN]
@="CRYPTED!"

[HKEY_CLASSES_ROOT\NMMQLIXLWARCPZN\DefaultIcon]
@="C:\\DOCUME~1\\имя_пользователя\\LOCALS~1\\Temp\\x3t7cQ4jOXy8kq0.exe,0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NMMQLIXLWARCPZN]
@="CRYPTED!"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NMMQLIXLWARCPZN\DefaultIcon]
@="C:\\DOCUME~1\\имя_пользователя\\LOCALS~1\\Temp\\x3t7cQ4jOXy8kq0.exe,0"

Найдите данный файл и пришлите для анализа.

+ Удалите ссылку на вирус.

Изменено: zloyDi - 08.07.2016 07:27:26

Сообщений: 8

Баллов: 4

Регистрация: 11.03.2012

Размещено 11.03.2012 20:03:09

Не сумел найти их... Нашёл в реестре лишь строку Access.LockFile.12 и Access.LockFile

Изменено: Jokerok7 - 08.07.2016 07:27:26

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 11.03.2012 20:04:41

Могу помочь с поиском через программу тим вьювер, тот файл что выше выкладывали файлы не шифрует.

_______________.exe - Win32/Spy.KeyLogger.NTE trojan

Сообщений: 8

Баллов: 4

Регистрация: 11.03.2012

Размещено 11.03.2012 20:10:23

Я могу Вам по почте переслать то злополучное письмо, в котором файл. Т.е. могу переслать то что пришло мне от них...

Пред. 1 ... 12 13 14 15 16 ... 21 След.