зашифровано с расширением id-*_support@recovery.cab - Форум технической поддержки ESET NOD32

Сообщений: 4

Баллов: 2

Регистрация: 18.03.2015

Размещено 18.03.2015 18:47:21

На ноутбук попал вирус шифровщик, переименовывает документы, фото и архивы.
К имени файла добавляет [email protected]

Увидел что Яндекс.Диск начал внезапно синхронизироваться, сначала значения не придал.
Потом комп начал тормозить, и на рабочем столе у ярлыков какие то непонятные названия появились.
Решил перезагрузиться.

Перезагрузился, но названия так и остались с приставкой [email protected]
Завёл сканирование антивирусом.
Ещё windows спрашивал чем открыть файл EA.tmp, я так понял он попал в автозапуск - это видимо и был вирус.

Пример зашифрованного файла во вложении.
...Ан нет, пишет ошибка при сохранении.

Тогда вот ссылка на файл на Я.Диске - https://yadi.sk/d/hucidMS8fLpro

Спасибо!

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 18.03.2015 18:58:13

1. добавьте образ автозапуска системы, где произошло заражение.
http://forum.esetnod32.ru/forum9/topic2687/

2. если известен источник заражения: письмо с вредоносным вложением, или вредоносная ссылка, вышлите в почту [email protected]

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 18.03.2015

Размещено 18.03.2015 19:15:51

Архив образа во вложении.
Кстати говоря, вирус не успел зашифровать все файлы, не тронутых осталось совсем чуть-чуть.
Видимо NOD32 поместил вирус в карантин, во время принудительного сканирования.

P.S.: Подозрительное сообщение отправил на [email protected]

Спасибо!

Прикрепленные файлы

ОЛЕГ-ПК_2015-03-18_19-05-38.7z (620.3 КБ)

Изменено: Олег Касьянов - 28.05.2016 03:11:25

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 18.03.2015 19:25:56

а проверьте карантин Есета, что там есть из свежих объектов?
возможно выключение компа прервало процесс шифрования.
образ на первый взгляд чист.

аналогичная тема
http://virusinfo.info/showthread.php?t=179896

Изменено: santy - 28.05.2016 03:11:25

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 18.03.2015

Размещено 18.03.2015 19:41:43

C:\Users\Олег\AppData\Local\Temp\EA.tmp - модифицированный MSIL/Injector.IPX троянская программа - очищен удалением - изолирован [1]

Вот этот EA.tmp из свежих, как раз после перезагрузки ноута система спрашивала чем открыть его, я нажал отмену.
А из карантина его как то можно достать?

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 18.03.2015 20:00:02

Из карантина достать можно ( если нужно )
1) Отключить защиту в режиме реального времени ( правой лапой мыши по глазу ESET )
2) Открыть окно карантина - выбрать объект.
Восстановить В...
Выберите место куда его следует восстановить.
___При этом снимите расширение с EA.tmp до EA.tm1

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 18.03.2015 20:09:22

файл из карантина надо восстановить в любой другой каталог, переименовать с другим расширением, например: EA.vtmp, заархивировать с паролем infected и выслать в почту [email protected]

[ Как создать образ автозапуска? ]

Сообщений: 142

Баллов: 113

Регистрация: 10.06.2011

Размещено 19.03.2015 15:55:39

Скорее всего очередная разновидность 741 шифратора, которая использует AES шифрование. Кстати, уже похоже и расшифровка есть.

Изменено: mike 1 - 28.05.2016 03:11:25

Михаил

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 19.03.2015 16:03:55

да, есть и уже известно где

Изменено: santy - 28.05.2016 03:11:25

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 18.03.2015

Размещено 19.03.2015 16:04:55

Цитата
santy написал: да, есть и уже известно где

Где?

зашифровано с расширением id-*[email protected] , возможно, Filecoder.DG