Пострадавших компьютеров несколько. И зашифрованы файлы на расшаренных дисках некоторых компьютеров в локальной сети. Файлы имеют имя вида <filename>.DOC.{Vegclass@aol.com}.xtbl Прилагаю образ автозапуска с двух компьютеров, до остальных пока добраться возможности нет. Один, видимо, эпицентр, второй имел в общем доступе папки с данными. ASSEL-HP скорей всего это начал. С уважением, и огромной надеждой, Андрей.
--------- По CrySiS есть хорошие новости. Получены мастер ключи по вариантам CrySiS (в частности, vegclass@aol.com.xtbl/ {meldonii@india.com}.xtbl/redshitline@india.com.xtbl/ecovector3@india.com.xtb и др.), думаю, в скором времени можно ожидать универсальный дешифратор, с использованием мастер-ключей.
выполняем скрипт в uVS: - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Добрый день! Сегодня поймали вирус который зашифровал файлы. Сначала на ПК пользователя, потом на сервере. Это очень критично для нас. У нас установлена корпоративная лицензия. Антивирус не помог, пропустил вирус. выкладываю файлы автозапуска. Прошу помочь нам расшифровать данные файлы.
выполняем скрипт в uVS: - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn 1ABE399A5583C58CF42BC4BD0CB82A472562DEBA89FA9C1D61C3F67CDBA379C9D5185697BB95E851C31A809F46D149EC7DDFE89A51DEB02CAEBF5BC677062273 8 Ransom:Win32/Genasom [Microsoft]
zoo %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\LOCAL\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.IDB6EEB3EB.VEGCLASS@AOL.COM.XTBL
zoo %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.IDB6EEB3EB.VEGCLASS@AOL.COM.XTBL
zoo %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\REMOTE DESKTOP CONNECTION.LNK.IDB6EEB3EB.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\REMOTE DESKTOP CONNECTION.LNK.IDB6EEB3EB.VEGCLASS@AOL.COM.XTBL
;------------------------autoscript---------------------------
chklst
delvir
delref %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.IDB6EEB3EB.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\USERS\L.PRIPUTNIKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.IDB6EEB3EB.VEGCLASS@AOL.COM.XTBL
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.IDB6EEB3EB.VEGCLASS@AOL.COM.XTBL
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.IDB6EEB3EB.VEGCLASS@AOL.COM.XTBL
delref %Sys32%\NEFTPDZVCNORKO.EXE
del %Sys32%\NEFTPDZVCNORKO.EXE
deltmp
delnfr
;-------------------------------------------------------------
restart
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_****.rar/7z) отправить в почту safety@chklst.ru ------------
нет, не расшифруются. это только скрипт очистки системы от вирусных тел. по расшифровке отдельный разговор. так просто не решается эта проблема, тем более с новым шифратором. -------- необходимо проанализировать тело шифратора, зашифрованные файлы, определить тип шифратора, и далее уже смотреть: есть по нему на сегодня дешифраторы или нет. поскольку вирусописатели меняют заголовки зашифрованных файлов, при этом возможно что алгоритм шифрования не меняется. -------- здесь например добавили xtbl, хотя предыдущие варианты действительно xtbl совершенно иначе формируют заголовок файла.
этот вариант шифратора как минимум неделя уже в ходу.