зашифровано с расширением .id-{*}_repairfiles365@gmail_com - Форум технической поддержки ESET NOD32

Сообщений: 32

Баллов: 16

Регистрация: 14.12.2015

Размещено 12.04.2016 13:16:24

Словили сегодня шифровщика, кто что запускал не понятно, зашифровал все что на флешке, диске Д, и кусок диска С. Шифровал все что связано с бухами, ключи банка, электронные подписи, программу для отрпавки отчетов. Такое чувство что я его прервал когда начал базы 1С обновлять.
В архиве пару файлов, пароль virus. Есть варианты расшифровать?
nod32 его не видет, файлы шифруются.
virus.rar зашифрованный файл, пароль virus.
В начале файл становить с расширением gpg, потом он удаляется и вместо него появляется другой

С помоью МВАМ нашел PUP.Optional.PassView Файл D:\Install\!totalcmd\plugins\exe\NhT\PassMaker.exe

Прикрепленные файлы

virus.rar (6.32 КБ)

Изменено: Сергей Жало - 22.06.2017 09:13:46

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 12.04.2016 13:31:04

похоже GnuPG используют при шифровании.

# off=0 ctb=84 tag=1 hlen=2 plen=140
:pubkey enc packet: version 3, algo 1, keyid 3DEC2AC53ADBF810
data: [1023 bits]
# off=142 ctb=d2 tag=18 hlen=2 plen=0 partial new-ctb
:encrypted data packet:
length: unknown
mdc_method: 2

File: X:\active\shifr\исследовать\730\virus\v1.2.3_NewInConfig_ru.htm.id-{815F73E7}_repairfiles365@gmail_com
-----------
откуда словили? если есть вложение из электронной почты, перешлите в почту [email protected] можно в архиве с паролем infected

[ Как создать образ автозапуска? ]

Сообщений: 32

Баллов: 16

Регистрация: 14.12.2015

Размещено 12.04.2016 13:33:32

Цитата
santy написал: похоже GnuPG используют при шифровании. # off=0 ctb=84 tag=1 hlen=2 plen=140 :pubkey enc packet: version 3, algo 1, keyid 3DEC2AC53ADBF810 data: [1023 bits] # off=142 ctb=d2 tag=18 hlen=2 plen=0 partial new-ctb :encrypted data packet: length: unknown mdc_method: 2 File: X:\active\shifr\исследовать\730\virus\v1.2.3_NewInConfig_ru.htm.id-{815F73E7}_repairfiles365@gmail_com ----------- откуда словили? если есть вложение из электронной почты, перешлите в почту [email protected] можно в архиве с паролем infected

Цитата

santy написал:
похоже GnuPG используют при шифровании.

# off=0 ctb=84 tag=1 hlen=2 plen=140
:pubkey enc packet: version 3, algo 1, keyid 3DEC2AC53ADBF810
data: [1023 bits]
# off=142 ctb=d2 tag=18 hlen=2 plen=0 partial new-ctb
:encrypted data packet:
length: unknown
mdc_method: 2

File: X:\active\shifr\исследовать\730\virus\v1.2.3_NewInConfig_ru.htm.id-{815F73E7}_repairfiles365@gmail_com
-----------
откуда словили? если есть вложение из электронной почты, перешлите в почту [email protected] можно в архиве с паролем infected

Говорят что нечего не запускали. нечего не качали, работали с бухгалтерской программой, когда пошло шифрование был запущен процес gpg.exe и keygen.exe, есть карантин который делал через avz может его кинуть?

Я успел сделать бакап основных данных кроме флешки, сидел вечером колупался и эти два процеса уидел уже когда рабочий стол начал шифроваться около 23:00, вот лоиг МВАМ, могу еще скинуть файл с расширением gpg

Прикрепленные файлы

МВАМ.txt (1.38 КБ)

Изменено: Сергей Жало - 12.04.2016 14:04:24

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 12.04.2016 15:10:14

да, скиньте карантин avz, несколько файлов с расширением gpg, сделайте образ автозапуска системы (ссылка в моей подписи),
+ проверьте почту менеджеров, которые работали за компов, в том числе и удаленные сообщения, возможно что-то запустили из почты.
(сами они скорее всего не признаются, точнее признаются если им показать, то что они запускали.)

gpg.exe - это скорее всего легальная утилитка от gnuPG, которая и была использована для шифрования.
В этом случае можно попытаться найти pub &sec key, которые создаются в начале шифрования.
С помощью второго можно расшифровать файлы.

Изменено: santy - 12.04.2016 15:11:10

[ Как создать образ автозапуска? ]

Сообщений: 32

Баллов: 16

Регистрация: 14.12.2015

Размещено 12.04.2016 15:51:46

Цитата
santy написал: pub &sec key

Так файлы должны называться?
На мыло выслал, лог сюда прикрепил

Прикрепленные файлы

OFFICE-PC_2016-04-12_15-34-43.TXT (9.7 МБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 12.04.2016 16:22:46

вот эти файлы еще добавьте в собщение, можно в архиве.
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
C:\USERS\BROVARU\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
судя по образу шифрование было вчера
11.04.2016 в 17:19:22
--------
если использовался gpg.exe для шифрования, то поищите файлы pubring.gpg и secring.gpg (в том числе и среди удаленных файлов) если конечно они не были переименованы после создания.

Изменено: santy - 12.04.2016 16:24:03

[ Как создать образ автозапуска? ]

Сообщений: 32

Баллов: 16

Регистрация: 14.12.2015

Размещено 12.04.2016 16:28:12

Цитата
santy написал: вот эти файлы еще добавьте в собщение, можно в архиве. C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT C:\USERS\BROVARU\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT судя по образу шифрование было вчера 11.04.2016 в 17:19:22

Цитата

santy написал:
вот эти файлы еще добавьте в собщение, можно в архиве.
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
C:\USERS\BROVARU\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
судя по образу шифрование было вчера
11.04.2016 в 17:19:22

Я все такие файлы по сносил, но эти почему то остались. Шифровка началась в 10:50. Первый файл был создан в это время, в а 17:19 я же сканил все на вирусы. Вообще сижу балдею с людей, все данные тупо на диске С без единого бакапа, спрашиваю сис.админ есть, отвечают что есть, но бакапы настроить не может потому что в 1С 8.2 и два не шарит, шарит только в 7.7

Прикрепленные файлы

2.zip (641 Б)
1.zip (598.01 КБ)

Изменено: Сергей Жало - 12.04.2016 16:31:10

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 12.04.2016 16:34:49

Цитата
Все ваши документы, фотографии, базы данных и другие файлы были зашифрованы криптостойким алгоритмом с уникальным для вашего ПК ключом. Если вы хотите убедится в том, что дешифратор для ваших файлов у нас действительно есть, можете прислать нам какой-нибудь зшифрованный файл и мы вернем его оригинал E-mail для связи с нами *****

Цитата

Все ваши документы, фотографии, базы данных и другие файлы были зашифрованы криптостойким алгоритмом с уникальным для вашего ПК ключом.
Если вы хотите убедится в том, что дешифратор для ваших файлов у нас действительно есть, можете прислать нам какой-нибудь зшифрованный файл и мы вернем его оригинал

E-mail для связи с нами *****

все таки, проверьте почту менеджеров, что они могли запустить из почты во вчерашний день.
+ проверьте %temp% юзера, что там осталось со вчерашнего дня в момент начала шифрования

[ Как создать образ автозапуска? ]

Сообщений: 32

Баллов: 16

Регистрация: 14.12.2015

Размещено 12.04.2016 16:38:58

Цитата
santy написал: все таки, проверьте почту менеджеров, что они могли запустить из почты во вчерашний день.

Пользователь BROVARU только в 1С работает, ничего больше не делает

Вот нашел gnupg, там файлы и iconv.dll выложить архив?
По созданным в это время файлам есть c:\Users\office\Documents\кос2015\1Cv8FTxt\changes20160411000000.log
c:\Windows\Prefetch\1CV7S.EXE-0FA9C8E3.pf
c:\Windows\Prefetch\1CV8.EXE-642834BD.pf
c:\Windows\Prefetch\ATTRIB.EXE-A990CB86.pf
c:\Windows\Prefetch\CIS.EXE-F3F81C94.pf
c:\Windows\Prefetch\CMDUPD.EXE-04AAE8E2.pf
c:\Windows\Prefetch\KEYGEN.EXE-4FE414E3.pf
c:\Windows\Prefetch\PRINTFILTERPIPELINESVC.EXE-1565F6A1.pf
c:\Windows\Prefetch\RUNDLL32.EXE-B321059F.pf
c:\Windows\Prefetch\SOFTWARE_REPORTER_TOOL.EXE-7A4028C5.pf

Изменено: Сергей Жало - 12.04.2016 16:46:36

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 12.04.2016 17:14:03

gnupg и iconv.dll - это все что нужно для шифрования файлов.
да выложите их,
и вот на эти файлы тоже интересно глянуть
c:\Windows\Prefetch\ATTRIB.EXE-A990CB86.pf
c:\Windows\Prefetch\CIS.EXE-F3F81C94.pf (если только это не файл от Комодо)
c:\Windows\Prefetch\CMDUPD.EXE-04AAE8E2.pf
c:\Windows\Prefetch\KEYGEN.EXE-4FE414E3.pf
c:\Windows\Prefetch\RUNDLL32.EXE-B321059F.pf

[ Как создать образ автозапуска? ]