Вход
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .c400; *.roto; *.tar; *.c300 , Rotocrypt

1 2 3 След.
RSS
 
Егор Денисов
Егор Денисов
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 31.10.2016
Размещено 31.10.2016 15:22:40
Зашифрованы и переименованы файлы.
В архиве пример файла до и после.
В автозагрузке висел ярлык на файл с длинным именем(в архиве)
На рабочем столе пользователя был подозрительный файл (вроде "r" тоже в архиве)

https://drive.google.com/open?id=0ByXD_5BDjv2GblZIZURJU1M3eDg

В техподдержку написал запрос, но что-то долго не приходит в ответ инструкция по дальнейшему общению с ними.
 
santy
santy
Администратор
Сообщений: 17837
Баллов: 14269
Регистрация: 16.03.2010
Размещено 31.10.2016 16:40:39
@Егор Денисов,
это похоже на RotoCrypt, возможно не безнадежный случай, хотя и неизвестно пока есть расшифровка по нему или нет.
когда было шифрование? есть ли записка или файл о выкупе? если есть такой файл, так же добавьте его на форум.
+
если возможно, сделайте образ автозапуска системы из зашифрованной системы,
можно из безопасного режима системы,
или из под Winpe&uVS
Изменено: santy - 01.11.2016 10:19:01
[ Как создать образ автозапуска? ]
 
Егор Денисов
Егор Денисов
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 31.10.2016
Размещено 31.10.2016 16:45:45
Цитата
santy написал:
@Егор Денисов,
это похоже на RotoCrypt, возможно не безнадежный случай, хотя и неизвестно пока есть расшифровка по нему или нет.
когда было шифрование? есть ли записка или файл о выкупе? если есть такой файл, так же добавьте его на форум.
К сожалению такого файла не было. Списывался по адресу почты в имени файла. "Взлом" произошел скорее всего в 0:15 сегодня одного из пользователей сервера(ограниченного), что соответственно привело к заражению файлов( не всех, не успел) в шарах локальных компов, но не самого сервера.
 
santy
santy
Администратор
Сообщений: 17837
Баллов: 14269
Регистрация: 16.03.2010
Размещено 01.11.2016 07:45:21
кстати да, оба файла с одинаковым хэшем. и являются файлов шифратора.
https://www.virustotal.com/ru/file/bf09d6fc95cf7fd5f44e62e9515cbb5650fc1e544a566247­83d8071af7712e23/analysis/1477974362/

так же прописывает свою копию в автозапуск

Цитата
Полное имя                  C:\DOCUMENTS AND SETTINGS\username\LOCAL SETTINGS\APPLICATION DATA\MOZILLA\NCLUJGPW.EXE
Имя файла                   NCLUJGPW.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске [Запускался неявно или вручную]
File_Id                     54514FCD23000
Linker                      7.0
Размер                      134656 байт
Создан                      01.11.2016 в 10:32:21
Изменен                     31.10.2016 в 00:15:24
                           
TimeStamp                   29.10.2014 в 20:36:29
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               проверка не производилась
                           
Доп. информация             на момент обновления списка
SHA1                        AF846503643705A6BF9FD8A3CF0CA933CA7049FA
MD5                         E809C35B5D8C2CECE9A6D895873D98F4
                           
Ссылки на объект            
Ссылка                      C:\DOCUMENTS AND SETTINGS\username\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VKVYJETS.LNK
                           
Ссылка                      HKEY_USERS\S-1-5-21-2052111302-1383384898-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\VKvYJeTs
VKvYJeTs                    "C:\Documents and Settings\username\Local Settings\Application Data\Mozilla\nclujgpW.exe"
SHORTCUT                    C:\DOCUMENTS AND SETTINGS\username\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VKVYJETS.LNK
Изменено: santy - 01.11.2016 10:19:01
[ Как создать образ автозапуска? ]
 
Егор Денисов
Егор Денисов
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 31.10.2016
Размещено 01.11.2016 09:41:15
И что дальше? Ждать от вас ответа?
 
santy
santy
Администратор
Сообщений: 17837
Баллов: 14269
Регистрация: 16.03.2010
Размещено 01.11.2016 09:46:12
выполнил тестовое шифрование, попробую отправить файлы в вирлаб.
[ Как создать образ автозапуска? ]
 
Егор Денисов
Егор Денисов
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 31.10.2016
Размещено 01.11.2016 10:13:03
Хорошо. Буду ждать результата. Спасибо.
 
santy
santy
Администратор
Сообщений: 17837
Баллов: 14269
Регистрация: 16.03.2010
Размещено 01.11.2016 10:15:46
Цитата
Егор Денисов написал:
Хорошо. Буду ждать результата. Спасибо.
замечу, что разработка дешифратора не минутное дело,
как правило если расшифровка возможна, то дешифратор может быть выпущен в течение месяца.
Изменено: santy - 01.11.2016 10:19:01
[ Как создать образ автозапуска? ]
 
Петр Иванович
Петр Иванович
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 02.11.2016
Размещено 02.11.2016 12:05:39
У меня аналогичный случай, файлы зашифрованы и переименованные как у Вас
[название файла]![email protected]____.c400
но у меня оставили вредоносную программу на компе, могу выложить если поможет, меня тоже интересует возможность дешифровки файлов
вот анализ вируса https://www.virustotal.com/ru/file/bb08cc9cfdfeebf1c55bf72909a0b5feac87494d6d0cbdd2­5b0e91968258952d/...
 
santy
santy
Администратор
Сообщений: 17837
Баллов: 14269
Регистрация: 16.03.2010
Размещено 02.11.2016 12:16:16
видимо, расшифровки не будет по этому варианту Rotocrypt.
[ Как создать образ автозапуска? ]
 
1 2 3 След.
Читают тему (гостей: 1)