Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

зашифровано с расширением .id-{*}_repairfiles365@gmail_com

RSS
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 12.04.2016 13:16:24
Словили сегодня шифровщика, кто что запускал не понятно, зашифровал все что на флешке, диске Д, и кусок диска С. Шифровал все что связано с бухами, ключи банка, электронные подписи, программу для отрпавки отчетов. Такое чувство что я его прервал когда начал базы 1С обновлять.
В архиве пару файлов, пароль virus. Есть варианты расшифровать?
nod32 его не видет, файлы шифруются.
virus.rar зашифрованный файл, пароль virus.
В начале файл становить с расширением gpg, потом он удаляется и вместо него появляется другой

С помоью МВАМ нашел PUP.Optional.PassView Файл D:\Install\!totalcmd\plugins\exe\NhT\PassMaker.exe
Изменено: Сергей Жало - 22.06.2017 09:13:46

Ответы

Пред. 1 2 3
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 12.04.2016 18:26:09
Цитата
santy написал:
предположительно js
и еще раз напоминаю - проверьте входящую почту менеджера (если конечно он пользуется например оутлуком или thunderbird), который работал на данном компе за 11апреля. обратите внимание на вложения сообщений

и вот это прочитайте
http://chklst.ru/discussion/1481/vault-chto-delat#latest
Читал уже тышу раз( раз даже моя контора попала на шифровщик, но не вытащили нечего.
Я уже чуть ли иголки в пальцы не вставлял когда спрашивал, говорят нечего не трогали, там 3389 открыт, может через него вломились?

У одного пользователя которого я подозреваю,вообще история в браузере девственная. Бред, и права у него обрезанные
Изменено: Сергей Жало - 12.04.2016 18:33:21
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 12.04.2016 21:55:05
Вот что нашел связанное с приватом  
Изменено: Сергей Жало - 12.04.2016 23:33:27
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 13.04.2016 05:00:10
это какие то обрезки инфо. приватный ключ по размеру должен быть порядка 1kbytes
[ Как создать образ автозапуска? ]
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 13.04.2016 09:11:42
Короче, больше нечего, сейчас поставлю машину еще на скан которая удаленно подключается, может там что то интересное, половину выращил через р-студию
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 13.04.2016 09:35:48
да, пока не от чего оттолкнуться.
нужен исходный файл, с которого был запущен процесс шифрования, чтобы проверить всю цепочку от начала и конца шифрования.
[ Как создать образ автозапуска? ]
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 13.04.2016 09:57:06
Делаю скан удаленной машины, смотрите что пока наше, это в mbam:
Trojan.WebMoner Key
PUP.Optional.ClientConnect Файл
Изменено: Сергей Жало - 13.04.2016 09:59:31
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 13.04.2016 09:58:57
я уже написал, что интересует в первую очередь по данному шифратору. исходный файл или письмо, адрес, откуда был запущен шифратор.
[ Как создать образ автозапуска? ]
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 13.04.2016 10:32:55
Наверно закрываем тему до лучшех времен) просканил удаленную машину, вирусов кучу, на почту приходило только два письма в doc и от постоянных клиентов, там все нормально, в загрузках тоже. ну и человек сидит гороскопы читает и гадает в интернете))))
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 09.02.2018 05:26:14
интересно, что и во второй теме:
https://virusinfo.info/showthread.php?t=199536
на компьютере пострадавшего пользователя установлен не_без_известный софт Medoc: C:\ProgramData\Medoc\Medoc_2\ezvitInfo.exe
HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, ezvitInfo

возможно, именно через него и было получено "очередное обновление с нагрузкой шифратора"
по второй теме файлы зашифрованы с другим идентификатором
001_0218_2.zip.id-{C4591254}_repairfiles365@gmail_com
но вот какой при этом использовался ключ - неизвестно, нет зашифрованных файлов в этой теме,
[ Как создать образ автозапуска? ]
 
Пред. 1 2 3
Читают тему