Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

[ Закрыто ] Шифовальщик RC6 (7days)

1 2 3 След.
RSS
 
amm50
amm50
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 19.04.2012
Размещено 19.04.2012 18:24:39
Коллега отловила через троян win32/SpyVoltar или win32/Qhost вредоносную прграмму - шифровальщик. Файлам с расширениями doc xls dbf zip ... добавлено расширение KjTyb которому сопоставлена программа KOXV3 демонстрирующая на экране окно с именем 7day (В приложении) Кто нибудь сталкивался с этой заразой? nod32 на нее не реагирует. Файлы похоже действительно зашифрованы.
Экран.jpg (235.6 КБ)
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 19.04.2012 18:26:33
Вот такой лог выполните
http://forum.esetnod32.ru/forum9/topic54/
 
Валентин
Валентин
Администратор
Сообщений: 5270
Баллов: 8441
Регистрация: 12.05.2010
Размещено 20.04.2012 09:51:24
В приложенном архиве находится дешифратор, который возможно подойдёт Вам и инструкция по его использованию (пароль на архив: clean).
Пожалуйста, присылайте нам все найденные ключи (decoder.keys) для улучшения этой версии дешифратора. Спасибо!
Сообщите о результатах.
ESET Technical Support
 
amm50
amm50
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 19.04.2012
Размещено 20.04.2012 10:00:46
Выполнил.
В папке Program Files лежит папка 16tG во внутренней папке которой лежит исполняемый файл KOXV3.
Также в windows/system32 имеется несколько подпапок с также случайным образом сгенерироваными именами содержимое которых очень похоже на содержимое папки 16tG. Файл system.exe из такой папки 7aUD запущен среди системных процессов.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 20.04.2012 10:05:53
О, это модификация AE. Удалите вложение выше. Проверьте как работает декодер от Валентина, если не работает напишите в теме, зашлю запрос в вирлаб.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 20.04.2012 10:10:11
И залейте еще пару зашифрованный файлов.
Проверю старый декодер на эту модификацию.

Спасибо.
Изменено: zloyDi - 20.04.2012 10:10:33

 
amm50
amm50
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 19.04.2012
Размещено 20.04.2012 10:47:40
Декодер не работает.
Зашифрованные файлы ниже:
Изменено: amm50 - 20.04.2012 10:47:59
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 20.04.2012 10:53:14
Да, здесь новые файлы account.cfg и config.cfg, заслал все в вирлаб ждите ответа.

Спасибо.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 20.04.2012 18:54:15
Загрузите декодер по ссылке
http://zalil.ru/33109047

Usage: decoder.exe <directory>

In decoder.exe's directory must be located two files : config.cfg and account.cfg.
Both files belong to FileCoder.AE trojan. You have to find it manually on your computer.
 
amm50
amm50
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 19.04.2012
Размещено 23.04.2012 12:02:31
Проверил десодер в комбинации со всеми имеющимися на компьютере файлами config.cfg и account.cfg.
Ан не выходит. Похоже эти злыдни действительно держат ключ у себя и отдают его после оплаты. :(
 
1 2 3 След.
Читают тему