зашифровано с расширением .just; .green; .neitrino; , Filecoder.BM

RSS
на электронную почту 19.05.2014 пришел архив с названием "резюме.rar", он распаковался, но файл не открылся.
на следующий день файлы на компьютере зашифровались, в конце расширения файлов добавилось .just (удаление данной надписи не дает возможности открыть файл)  
и  в каждой папке появился текстовый файл "MESSAGE", с содержанием:

Приобретение декриптора:just.pay@aol.com
Ключ хранится до 22.05.2014
Обращения после 22.05.2014 будут игнорироваться.
При обращении укажите в теме письма ваш ID:6810623507
Письма обрабатываются автоматической системой.
Возможны задержки ответов

Проверка компьютера антивирусными программами ничего не выявляют.
Примеры зашифрованных файлов прикрепляем:

Ответы

Добрый день.
Сегодня пользователь подцепил по определению Nod32 вот такую заразу Win32\Filecoder.BM троянская программа.
зашифровались все файлы с расширениями xls, doc. pdf, jpg, bmp.
к ним дописалось расширение .green и рядом текстовый файл MESSAGE.txt
Во вложение похоже сам вирус, находились файлы в профиле зараженного пользователя AppData.
Пожалуйста помогите расшифровать файлы.
Заранее спасибо.
помогите пожалуйста, дело срочное ....отправил образец защифрованных файлов и обрз загрузчика системы  
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\OFFICE\РАБОЧИЙ СТОЛ\CUTEWRITER.EXE
addsgn A7679B1991AE1F245CE76E3821389B40F9627A627605F7F5233C3A544C7F8EB3CB440AA8C1BD0780D47F6C56B4E9B6124D2B178D661AE544D1D5E42FA3F91217 57 Win32/InstallCore

;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref USB.WSF

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
Всем доброго вечера.
На сетевом диск начали шифроваться файлы, с расширением .neitrino.
Шифрование происходит не понятным методом, не все подряд, а как то выборочно.
Общий файловый ресурс не затронут.
Файлы на ПК не затронуты.
Затронута только папка к которой пользователь имел права на редактирование.

Как удалить шифровальщик из системы и сети.
Если будет возможно буду рад расшифровать файлы.

p.s. у шифрованного файла меняется владелец - на сотрудника (который видимо и источник всех бед)

p.s.s. прогон антивирусом ПК результатов не дал, файлы продолжают шифроваться.

Спасибо
Изменено: Иван Демидов - 27.02.2017 19:28:25
порядок шифрования дисков у разных шифраторов может быть разных,
имеет смысл отключить доступ к сетевому диску, и затем локализовать на каком из устройств запущено шифрование.

если вы можете сразу определить на каком устройстве предположительно запущен шифратор,
то лучше этот комп выключить, и сделать образ автозапуска из безопасного режима.
http://forum.esetnod32.ru/forum9/topic2687/
(после того как образ будет сделан, и передан нам, комп опять же лучше выключить, до ожидания результата проверки.)

предположительно,
был открыт из почты документ (или скачан из сети) с темой "резюме."
(как правило содержит внедренный объект, который запускается на исполнение при двойном клике на ссылку или рисунок в документе резюме.)
Вопрос в том и состоит - как именно определить на каком устройстве запущен шифратор ?  
Добрый вечер еще раз.
Прикрепляю файл с образом автозапуска.

Да, вероятнее всего файл был получен из почты, но сотрудник не сознается, в рабочей почте похожих писем нет.
Поэтому инициализировать получается только по атрибутам шифрованных файлов.
Владелец - СидороВВ -> виновник вероятнее всего он
это ваши батники?

Цитата
Полное имя                  C:\USERS\СЕРГЕЙ\APPDATA\ROAMING\SVCHOST.BAT
Имя файла                   SVCHOST.BAT
Тек. статус                 в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Размер                      675 байт
Создан                      27.02.2017 в 09:05:28
Изменен                     27.02.2017 в 09:05:28
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
SHA1                        2082ACD56632EDC2FBCE046BDB7E6E7FEB84C4F3
MD5                         C9794A517BFCE08D795DF3420DEC0531
                           
#FILE#                      chcp 1251
del "C:\Users\Сергей\AppData\Roaming\*.rar"
del "C:\Users\D899~1\AppData\Local\Temp\*.rar"
del "C:\Users\D899~1\AppData\Local\Temp\*.scr"
del "C:\Users\D899~1\AppData\Local\Temp\*.docx"
del "C:\Users\D899~1\AppData\Local\Temp\*.exe"
del "C:\Users\D899~1\AppData\Local\Temp\*.wsf"
del "C:\Users\D899~1\AppData\Local\Temp\*.crt"
:simon
del "C:\Users\Сергей\AppData\Roaming\*.exe"
if exist "C:\Users\Сергей\AppData\Roaming\*.exe" (
ping -n 2 127.0.0.1 > nul
Goto simon)
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce /v TempClear /f
del "C:\Users\Сергей\AppData\Roaming\svchost.bat"
del "C:\Users\Сергей\AppData\Roaming\svchost.bat"

                           
Ссылки на объект            
Ссылка                      HKLM\laxarcnxo\Software\Microsoft\Windows\CurrentVersion\Run­Once\ClearTMP
ClearTMP                    "C:\Users\Сергей\AppData\Roaming\svchost.bat"
                           


Цитата
Полное имя                  {208C3C31-4F15-4944-83AA-C41637E92E35}.CMD
Имя файла                   {208C3C31-4F15-4944-83AA-C41637E92E35}.CMD
Тек. статус                 в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\R­unOnce\{208C3C31-4F15-4944-83AA-C41637E92E35}
{208C3C31-4F15-4944-83AA-C41637E92E35}cmd.exe /C start /D "C:\Users\DEMIDO~1\AppData\Local\Temp" /B {208C3C31-4F15-4944-83AA-C41637E92E35}.cmd
-----------------
утилиты для проверки что-то нашли? обычно этот вариант шифратора маскируется под утилитку от Адобе.
Доброе утро
Нет, батник не мой.
Но проверил под остальными пользователями, он так же присутствует.
Утилиты ничего не нашли
а процесс шифрования прекратился? он мог продолжаться до тех пор, пока файл шифратора висел в памяти.
На сетевом диске вроде как да.
На ПК ни один файл не зашифровался, только в сетевой шаре.
Читают тему (гостей: 2)