Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением __AiraCropEncrypted! , NMoreira

1 2 След.
RSS
 
POUL UILIAMSON
POUL UILIAMSON
Пользователь
Сообщений: 25
Баллов: 12
Регистрация: 26.08.2015
Размещено 25.10.2016 20:16:16
Здравствуйте такая проблема :
каждый файлик  лежащий на жёстком диске имеет подпись ".__AiraCropEncrypted!" после расширения файла и рядом лежит текстовый документ How to decrypt your files в котором
Encrypted Files!

All your files are encrypted. Using encryption AES256-bit and RSA-2048-bit.

Making it impossible to recover the files without the correct private key.

If you are interested in getting is key, and retrieve your files

visit one of the link and enter your key;

https://6kaqkavhpu5dln6x.onion.to/

https://6kaqkavhpu5dln6x.onion.link/

https://mvy3kbqc4adhosdy.onion.to/

https://mvy3kbqc4adhosdy.onion.link/

Alternative link:

http://6kaqkavhpu5dln6x.onion

http://mvy3kbqc4adhosdy.onion

To access the alternate link is mandatory to use the TOR browser available on the link

https://www.torproject.org/download/download

Key:

D0809D7FF155EDB518345504C73B507C7A57E23B60D17DEE9F54C27D7143­B3B7


Вот сами файлы

https://cloud.mail.ru/public/HcgU/439QmUCYR

https://cloud.mail.ru/public/Mhhg/2iTRvVgVt
Изменено: POUL UILIAMSON - 02.01.2017 05:48:47
 
mike 1
mike 1
Пользователь
Сообщений: 142
Баллов: 113
Регистрация: 10.06.2011
Размещено 26.10.2016 00:20:13
Что-то часто Вы болеете шифровальщиками.  
Михаил
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 26.10.2016 05:04:16
@POUL UILIAMSON,
источник заражения есть? вредоносное вложение в почте или ссылка в сети.
+
добавьте образ автозапуска из зашифрованной системы.
[ Как создать образ автозапуска? ]
 
POUL UILIAMSON
POUL UILIAMSON
Пользователь
Сообщений: 25
Баллов: 12
Регистрация: 26.08.2015
Размещено 28.10.2016 12:57:25
Доброго дня вот образ автозапуска http://rgho.st/6PqwLx9Gt
письмо попробую восстановить удалил попозже будет возможность скину !
Я админю несколько офисов в которых очень жадные директора из за чего теперь и страдают бухгалтера и  сами же директора! вся бухгалтерия закодированна!
Изменено: POUL UILIAMSON - 28.10.2016 12:59:03
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 28.10.2016 13:23:16
по образу:
этот файл вам известен?
судя по ссылкам - нежелательный файл.
https://malwr.com/analysis/N2VjMjFhYjkwODRkNDJhNmEyNjljYWZiODU5YzAyZjI/
https://www.herdprotect.com/qq123.exe-51c06e49e1c8ee61f93e8a2d27f5369612309c60.aspx

Цитата
Полное имя                  C:\WINDOWS\FONTS\QQ123.EXE
Имя файла                   QQ123.EXE
Тек. статус                 ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Статус                      ВИРУС
Сигнатура                   debug [глубина совпадения 64(64), необх. минимум 8, максимум 64]
                           
www.virustotal.com          2016-10-27
-                           Файл был чист на момент проверки.
                           
Удовлетворяет критериям    
IMAGE FILE EXECUTION.EXE    (ССЫЛКА ~ \IMAGE FILE EXECUTION OPTIONS\)(1)   OR   (ССЫЛКА ~ .EXE\DEBUGGER)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id                     4FD34D7533000
Linker                      9.0
Размер                      99064 байт
Создан                      14.10.2016 в 11:55:55
Изменен                     08.05.2013 в 02:29:38
Атрибуты                    СКРЫТЫЙ  СИСТЕМНЫЙ  
                           
TimeStamp                   09.06.2012 в 13:19:49
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя            WINRAR.SFX
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Тип запуска                 Неизвестный отладчик приложения(ий)
Атрибут файла               "Скрытый" или "Системный" [типично для вирусов]
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
SHA1                        51C06E49E1C8EE61F93E8A2D27F5369612309C60
MD5                         C4D0C458DCE6B802EA946A857FA2EA12
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe\Debugger
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe\Debugger
Изменено: santy - 28.10.2016 13:26:47
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 28.10.2016 14:53:43
по образу, кроме этого файле больше нет подозрительных файлов.
возможно подключились из внешней сети.

здесь еще будет инфо по данному шифратору
http://id-ransomware.blogspot.ru/2016/10/airacrop-ransomware.html

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
ZOO %SystemRoot%\FONTS\QQ123.EXE
delall %SystemRoot%\FONTS\QQ123.EXE
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
Изменено: santy - 28.10.2016 14:57:29
[ Как создать образ автозапуска? ]
 
POUL UILIAMSON
POUL UILIAMSON
Пользователь
Сообщений: 25
Баллов: 12
Регистрация: 26.08.2015
Размещено 28.10.2016 20:57:40
я так понимаю данный скрипт удалит червя но проблему с закодированнными файлами не решит?  
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 29.10.2016 08:31:34
да, это скрипт очистки системы.
по расшифровке файлов непонятно, что это за тип шифратора.
нужен файл шифратора.
[ Как создать образ автозапуска? ]
 
POUL UILIAMSON
POUL UILIAMSON
Пользователь
Сообщений: 25
Баллов: 12
Регистрация: 26.08.2015
Размещено 30.10.2016 10:47:46
есть какие идеи как его достать?  
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 30.10.2016 15:00:51
проверьте наличие точек восстановления на момент шифрования, так же выполните поиск среди удаленны файлов на момент шифрования с помощью R-studio, getdataback
[ Как создать образ автозапуска? ]
 
1 2 След.
Читают тему