Доброго времени суток! Один из пользователей схватил свежую версию Eric.Decoder.
Зловред приходит по "мылу" с темой "карточка предприятия" в теге From указано "ОАО Кар-Нэт [mailto:[email protected]]".
В письме вложение "карточка преприятия.rar", в котором запакован одноимённый екзешник.
Если у кого-то есть наработки в данном направлении, прошу помощи. В техпом уже написали, но мало ли, у кого-то уже есть решение...
В архиве *.7z находится uVS-образ автозагрузки инфицированной системы.
В архиве Crypted.rar запакованы образцы зашифрованных файлов и их исходных версий.
В архиве Filecoder.rar - сам зловред, пароль infected.
Спасибо...
зашифровано с расширением [email protected]* , *cbf

1. по очистке системы от шифраторов (он все еще в автозапуске)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код

;uVS v3.86.2 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE addsgn 9A6447DA5582A28DF42BAEB164C81205158AFCF6D9FA1F78C5C3C5BCB437FB4985C38411ACEDA1C61B096814461649FA7DDFE97255DABB2C6C77262FB46E4318 8 Win32/Filecoder.EQ [ESET-NOD32] zoo %SystemDrive%\PROGRAM FILES\1C\КАРТОЧКА ПРЕДПРИЯТИЯ.EXE zoo %SystemDrive%\TMP\7ZO77.TMP\КАРТОЧКА ПРЕДПРИЯТИЯ.EXE ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- restart

перезагрузка, пишем о старых и новых проблемах.
------------

2. по расшифровке документов напишите в [email protected] при наличии лицензии на антивирус ESET

Спасибо!

По электронке пришло письмо с вложением, открыли вложение и вирус зашифровал файлы, которые были названы на англ. в [email protected]-CL 1.0.0.0.id-PQRSTTUUVWXXYYZZABBCCDDEFFGHHHIJJKLL-29.05.2015 [email protected][email protected], [email protected] 1.0.0.0.id-PQRSTTUUVWXXYYZZABBCCDDEFFGHHHIJJKLL-29.05.2015 [email protected][email protected] и тд.

После полной проверки антивирус NOD32 поместил в карантин 18 файлов с разными троянами.

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

Образ автозапуска

образ чистый

дата системная не сбита на компе?
судя по наименованию шифрование произошло еще в мае,

Цитата
29.05.2015

на тот момент, скорее всего еще не было версии CL 1.0.0.0

по расшифровке данных при наличие лицензии обратитесь за помощью в тех.поддержку
[email protected]
при наличии лицензии на антивирус ESET

Нет, с датой всё нормально. Заражение и шифрование произошло 22 июля

Доброго дня! Прошу прощения, что пишу в чужой теме. Аналогичная ситуация, из почты запустили зараженный файл. Шифровальщик отработал (на ПК обнаружил два зараженных файла договор.exe, карточка предприятия.exe) зашифрованные файлы получились с именами [email protected] 1.1.0.0...., [email protected] 1.1.0.0.... Реально ли расшифровать? Пользователем ESET не являюсь, но готов им стать.

На данный момент дешифровать файлы невозможно. Единственный способ борьбы, кроме актуальных сигнатур (что не всегда является панацеей), - бекап критически важных данных.