Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

[ Закрыто ] Шифовальщик RC6 (7days)

1 2 3 След.
RSS
 
amm50
amm50
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 19.04.2012
Размещено 19.04.2012 18:24:39
Коллега отловила через троян win32/SpyVoltar или win32/Qhost вредоносную прграмму - шифровальщик. Файлам с расширениями doc xls dbf zip ... добавлено расширение KjTyb которому сопоставлена программа KOXV3 демонстрирующая на экране окно с именем 7day (В приложении) Кто нибудь сталкивался с этой заразой? nod32 на нее не реагирует. Файлы похоже действительно зашифрованы.
Экран.jpg (235.6 КБ)
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 19.04.2012 18:26:33
Вот такой лог выполните
http://forum.esetnod32.ru/forum9/topic54/
 
Валентин
Валентин
Администратор
Сообщений: 5198
Баллов: 4168
Регистрация: 12.05.2010
Размещено 20.04.2012 09:51:24
В приложенном архиве находится дешифратор, который возможно подойдёт Вам и инструкция по его использованию (пароль на архив: clean).
Пожалуйста, присылайте нам все найденные ключи (decoder.keys) для улучшения этой версии дешифратора. Спасибо!
Сообщите о результатах.
ESET Technical Support
 
amm50
amm50
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 19.04.2012
Размещено 20.04.2012 10:00:46
Выполнил.
В папке Program Files лежит папка 16tG во внутренней папке которой лежит исполняемый файл KOXV3.
Также в windows/system32 имеется несколько подпапок с также случайным образом сгенерироваными именами содержимое которых очень похоже на содержимое папки 16tG. Файл system.exe из такой папки 7aUD запущен среди системных процессов.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 20.04.2012 10:05:53
О, это модификация AE. Удалите вложение выше. Проверьте как работает декодер от Валентина, если не работает напишите в теме, зашлю запрос в вирлаб.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 20.04.2012 10:10:11
И залейте еще пару зашифрованный файлов.
Проверю старый декодер на эту модификацию.

Спасибо.
Изменено: zloyDi - 20.04.2012 10:10:33

 
amm50
amm50
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 19.04.2012
Размещено 20.04.2012 10:47:40
Декодер не работает.
Зашифрованные файлы ниже:
Изменено: amm50 - 20.04.2012 10:47:59
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 20.04.2012 10:53:14
Да, здесь новые файлы account.cfg и config.cfg, заслал все в вирлаб ждите ответа.

Спасибо.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 20.04.2012 18:54:15
Загрузите декодер по ссылке
http://zalil.ru/33109047

Usage: decoder.exe <directory>

In decoder.exe's directory must be located two files : config.cfg and account.cfg.
Both files belong to FileCoder.AE trojan. You have to find it manually on your computer.
 
amm50
amm50
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 19.04.2012
Размещено 23.04.2012 12:02:31
Проверил десодер в комбинации со всеми имеющимися на компьютере файлами config.cfg и account.cfg.
Ан не выходит. Похоже эти злыдни действительно держат ключ у себя и отдают его после оплаты. :(
 
1 2 3 След.
Читают тему