Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

Зашифрованы файлы с расширением .e-mail.ID* , возможно, RSAUtil

1 2 След.
RSS
 
Роман Небелюк
Роман Небелюк
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 24.05.2016
Размещено 15.05.2017 18:17:39
Добрый день! На двух компьютерах был пойман шифратор (запустился ночью без участия пользователей на обеих машинах примерно в одно и то же время), зашифровал все файлы  расширением [email protected], были изменены все папки, кроме системных, вплоть до ярлыков на рабочем столе. ID везде одинаковый, списался с вымогателем и скинул ему по файлу с каждого компьютера, он прислал их расшифрованными. На одном компьютере через Kaspersky Removal Tool обнаружил Trojan-Ransom.Win32.Agent.iyp, на втором ничего. Nod32 4.2.76.1 молчал, в журнале угроз ничего. Есть возможность как-то расшифровать файлы, или единственный способ сейчас — на свой страх и риск заплатить? Во вложении — пример зашифрованного файла.

-----------
по расшифровке файлов, зашифрованных в RSAUtil обращайтесь в [email protected]
Изменено: Роман Небелюк - 28.10.2018 14:16:58
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.05.2017 18:40:12
Роман,
такая заставка на рабочем столе?


если есть записка о выкупе, добавьте так же файл записки о выкупе. лучше добавить в архив и поместить на форум.
[ Как создать образ автозапуска? ]
 
Роман
Роман
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 24.05.2016
Размещено 15.05.2017 19:14:40
В каждой директории находится файл How_return_files.txt со следующим содержанием:

Your documents, photos, databases, save games and other important data was encrypted.
Data recovery the necessary interpreter.
To get the interpreter, should send an email to [email protected]  
In a letter to include Your personal ID (see the beginning of this document).

Attention!
* Do not attempt to remove a program or run the anti-virus tools
* Attempts to decrypt the files will lead to loss of Your data
* Decoders other users is incompatible with Your data, as each user
unique encryption key

При связи с вымогателем было достаточно прислать пару зашифрованных файлов, чтобы он скинул уже расшифрованные — в доказательство того, что он может их вернуть к первоначальному виду. Я скинул по файлу с разных машин с одинаковым ID, и расшифровали оба.

Заставки не было, судя по всему вирус сработал по-тихому, пришедший с утра пользователь лишь показал, что не может открыть документы.  
Изменено: Роман - 15.05.2017 19:16:29
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.05.2017 05:45:23
Роман,
добавьте во вложение сам файл How_return_files.txt
[ Как создать образ автозапуска? ]
 
Роман
Роман
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 24.05.2016
Размещено 16.05.2017 11:54:36
Сам файл, подобные лежат в каждой директории (даже во вкладке IE11 и сетевом окружении).
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.05.2017 13:28:41
Роман,
судя по записке о выкупе и по зашифрованному файлу

Цитата
Identified by

   ransomnote_filename: How_return_files.txt
   sample_extension: .<email>.ID<id>

Click here for more information about RSAUtil
ваши файлы зашифрованы этим шифратором. RSAUtil
https://www.bleepingcomputer.com/forums/t/646245/rsautil-ransomware-help-topic-how-return-filestxt-helppmeindiacom/

расшифровки по данному шифратору нет.

пробуйте восстановить документы из архивных копий, точек восстановления, поиском среди удаленных файлов.
[ Как создать образ автозапуска? ]
 
Andrey Yakyshev
Andrey Yakyshev
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 10.09.2017
Размещено 10.09.2017 18:17:40
Добрый день!
Зашифровались все файлы на диске.
Возможно ли подобрать или сделать дешифровщик?
Можно ли запустиь Nod32 на сканирвание?

Во вложении два одинаковых файла - один до шифровки, второй после.  
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.09.2017 04:41:38
@Andrey Yakyshev,
добавьте образ автозапуска системы, возможно есть в системе еще файлы, по которым можно идентифицировать тип шифратора.
+
добавьте записку о выкупе.
[ Как создать образ автозапуска? ]
 
Andrey Yakyshev
Andrey Yakyshev
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 10.09.2017
Размещено 11.09.2017 11:49:14
Добавил
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.09.2017 12:02:41
по очистке системы выполните:
(следов шифратора не увидел, зато целая коллекция майнеров трудится.)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ЮЗЕР\PICTURES\SVDHOST.EXE
zoo %SystemDrive%\USERS\ЮЗЕР\APPDATA\ROAMING\MIICROSOFT\ST.BAT
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\ЮЗЕР\APPDATA\LOCAL\TEMP\RARSFX5\1.VBS
delall %SystemDrive%\USERS\ЮЗЕР\APPDATA\ROAMING\MIICROSOFT\ST.BAT
zoo %SystemDrive%\USERS\ЮЗЕР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MICROSOFT OPERATING SYSTEM.EXE
addsgn A7679BF0AA0234BA4AD4C6F1F1891261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95C16DC9EE82BD6D738076F775BACCA8A0931 8 Win64/CoinMiner 7

zoo %SystemDrive%\USERS\ЮЗЕР\APPDATA\ROAMING\MICROSOFT\WINDOWS\TEMPLATES\SVCHOST.EXE
addsgn BA6F9BB2BD994D720B9C2D754C21F8F9DA7503D3B5E41F787AE623A250D68E69CB09C357C17077572B8048530E95A5D23554E9F36DB9C341CD0288ACBF1E2606 8 TR/Drop.Agent.CE.10 7

addsgn BA6F9BB2BD994D720B9C2D754C21F8F9DA7503D3B5E41F787AE623A250D68E69CB09C357C17077572B8048530E95A5D23554E9F36DB9C341CD0288ACBF1E2606 8 Win64/CoinMiner 7

zoo %SystemDrive%\USERS\ЮЗЕР\APPDATA\ROAMING\MIICROSOFT\RAN.EXE
addsgn 9AC0769A55024C720BD4C6E5508912ED79CAFCF60A3E131085C3C5BCB883314C23B49B637F55F5492B8084F7460649FA15DFE8725532F26C2D77077BF347229B 8 miner 7

addsgn A7679BF0AA02B4D14BD4C6B1FA881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CE6DC9FE82BD6D7E0FD6C775BACCA52F332 8 miner 7

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemRoot%\SYSWOW64\SPOOL\DRIVERS\X64\3\CNAP3LAK.EXE
delref %SystemDrive%\USERS\ЮЗЕР\APPDATA\ROAMING\MIICROSOFT\SSSSS.VBS
delref %SystemDrive%\USERS\ЮЗЕР\APPDATA\ROAMING\MIICROSOFT\AAA.VBS
delref %SystemDrive%\USERS\671D~1\APPDATA\LOCAL\TEMP\CHROME_BITS_4928_8768\26.0.0.151_WIN64_PEPPERFLASHPLAYER.CRX3
delref %SystemDrive%\USERS\ANDREY\APPDATA\LOCAL\TEMP\CHROME_BITS_4808_27597\26.0.0.151_WIN64_PEPPERFLASHPLAYER.CRX3
delref %SystemDrive%\USERS\ANDREY\APPDATA\LOCAL\TEMP\CHROME_BITS_6272_2413\505_ALL_STHSET.CRX3
delref %SystemDrive%\USERS\IRINA\APPDATA\LOCAL\TEMP\CHROME_BITS_4240_6332\498_ALL_STHSET.CRX3
delref D:\ВИТРАЖИ\СКЛАД\SLS-SKLAD\SLS-SKLAD\MONITOR.EXE
delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemDrive%\VIRTUAL MACHINES\WINDOWS7\WINDOWS7.VMX
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\YOTA\YOTA ACCESS (MODEMS)\YOTAACCESS.EXE
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\NMPAR.SYS
delref %Sys32%\DRIVERS\NMSERIAL.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref E:\AUTOINSTALL.EXE
delref D:\SETUP.EXE
delref D:\ВИТРАЖИ\СКЛАД\SLS-SKLAD\SKLAD_W.EXE
;-------------------------------------------------------------

restart
czoo

перезагрузка, пишем о старых и новых проблемах.
------------
[ Как создать образ автозапуска? ]
 
1 2 След.
Читают тему