Форум esetnod32.ru [тема: зашифровано с расширением *id-*_blockchain@inbox.com*] http://forum.esetnod32.ru Новое в теме зашифровано с расширением *id-*_blockchain@inbox.com* форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Tue, 21 Apr 2026 23:52:12 +0300 зашифровано с расширением *id-*_blockchain@inbox.com* зашифровано с расширением *id-*_blockchain@inbox.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Спасибо, отправил письмо в техническую поддержку.
29.07.2015 14:06:53, Дмитрий Романов.]]> http://forum.esetnod32.ru/messages/forum35/topic13319/message86903/ http://forum.esetnod32.ru/messages/forum35/topic13319/message86903/ Wed, 29 Jul 2015 14:06:53 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_blockchain@inbox.com* зашифровано с расширением *id-*_blockchain@inbox.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
тело шифратора здесь сохранилось, активного шифратора нет.


====quote====
Полное имя                  C:\DOCUMENTS AND SETTINGS\VMAIBORODA.VENDOR\LOCAL SETTINGS\TEMP\RAR$EX00.846\ПЕРЕРАСЧЕТ ПО ИТОГАМ ПЕРВОГО КВАРТАЛА 2015 ГОДА.EXE
Имя файла                   ПЕРЕРАСЧЕТ ПО ИТОГАМ ПЕРВОГО КВАРТАЛА 2015 ГОДА.EXE
Тек. статус                 ?ВИРУС? [Запускался неявно или вручную]
                           
www.virustotal.com          2015-07-29
Kaspersky                   UDS:DangerousObject.Multi.Generic
BitDefender                 Gen:Variant.Symmi.38885
DrWeb                       Trojan.Encoder.741
ESET-NOD32                  a variant of Win32/Injector.CFTE
                           
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
File_Id                     55B67209C3000
Linker                      6.0
Размер                      365568 байт
Создан                      27.07.2015 в 18:20:36
Изменен                     27.07.2015 в 18:20:36
                           
TimeStamp                   27.07.2015 в 18:01:45
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            dwengine.exe
Версия файла                6.0.3.02040 (Build 8304)
Версия продукта             6.0.3.02040
Описание                    Dr.Web ® Scanning Engine
Продукт                     Dr.Web ® Anti-Virus
Copyright                   Copyright © Doctor Web, Ltd., 1992-2011
Производитель               Doctor Web, Ltd.
                           
Доп. информация             на момент обновления списка
SHA1                        2633C7BC42808ACA48C4AB9A7F33EFAA34DE7C0F
MD5                         428778683A46A5972DAA545148AC1E8B
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-1971894017-3069099733-274846109-1162\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\DOCUME~1\VMAIBO~1.VEN\LOCALS~1\TEMP\RAR$EX00.846\ПЕРЕРАСЧЕТ ПО ИТОГАМ ПЕРВОГО КВАРТАЛА 2015 ГОДА.EXE

=============
----------
при наличие лицензии на наш  антивирус обратитесь за помощью в техническую поддержку support@esetnod32.ru

рекомендую если вы используете корпоративную ESET NOD32 перейти хотя бы на 5 версию                        
+
в локальные политики добавить запрет на запуск исполняемых файлов из архивов.
29.07.2015 14:03:33, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13319/message86902/ http://forum.esetnod32.ru/messages/forum35/topic13319/message86902/ Wed, 29 Jul 2015 14:03:33 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_blockchain@inbox.com* зашифровано с расширением *id-*_blockchain@inbox.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Добрый день.
Бухгалтер открыла файл с почты и поймала данный шифровальщик.

Вот файл автозапуска и файл из письма. Пароль на архив infected.
AFR-GLBUH_2015-07-29_13-10-35.7z
Новая папка (2).rar
29.07.2015 13:28:02, Дмитрий Романов.]]> http://forum.esetnod32.ru/messages/forum35/topic13319/message86898/ http://forum.esetnod32.ru/messages/forum35/topic13319/message86898/ Wed, 29 Jul 2015 13:28:02 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_blockchain@inbox.com* зашифровано с расширением *id-*_blockchain@inbox.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Для начала
http://forum.esetnod32.ru/forum9/topic2687/
25.06.2015 21:53:25, zloyDi.]]> http://forum.esetnod32.ru/messages/forum35/topic13319/message86201/ http://forum.esetnod32.ru/messages/forum35/topic13319/message86201/ Thu, 25 Jun 2015 21:53:25 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_blockchain@inbox.com* зашифровано с расширением *id-*_blockchain@inbox.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Помогите, пожалуйста, с дешифратором, Скачала с майла файл, а он мне зашифровал все файлы. нужен дешифратор файлов пострадавших о тid-4122239688_blockchain@inboxПомогите, пожалуйста, с дешифратором, Скачала с майла файл, а он мне зашифровал все файлы. нужен дешифратор файлов пострадавших о тid-4122239688_blockchain@inbox, пожалуйста, с дешифратором, Скачала с майла файл, а он мне зашифровал все фа
25.06.2015 21:37:07, Annasteisha Lo.]]> http://forum.esetnod32.ru/messages/forum35/topic13319/message86200/ http://forum.esetnod32.ru/messages/forum35/topic13319/message86200/ Thu, 25 Jun 2015 21:37:07 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_blockchain@inbox.com* зашифровано с расширением *id-*_blockchain@inbox.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
NoName2342,
документы через теневое копирования резервируются в точках восстановление только для OS выше XP.
для XP в точках восстановления резервируются только файлы системы.
23.06.2015 17:01:56, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13319/message86146/ http://forum.esetnod32.ru/messages/forum35/topic13319/message86146/ Tue, 23 Jun 2015 17:01:56 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_blockchain@inbox.com* зашифровано с расширением *id-*_blockchain@inbox.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
santy, восстанавливал на Windows XP sp2, после восстановления несколько раз пробегался поиском через TotalCommander и ничего подозрительного не нашел. Хочу еще заметить , что на некоторых машинах восстановиться к контрольной точке не удалось по неизвестным причинам, хотя наблюдение за дисками велось, не помог даже безопасный режим.
23.06.2015 16:45:58, NoName2342.]]> http://forum.esetnod32.ru/messages/forum35/topic13319/message86145/ http://forum.esetnod32.ru/messages/forum35/topic13319/message86145/ Tue, 23 Jun 2015 16:45:58 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_blockchain@inbox.com* зашифровано с расширением *id-*_blockchain@inbox.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
восстановление документов из теневой копии может сработать при условии если система выже xp
и если шифратор не отключает теневые копии,
и если защита данных включена на всех разделах и дисках
23.06.2015 16:32:18, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13319/message86144/ http://forum.esetnod32.ru/messages/forum35/topic13319/message86144/ Tue, 23 Jun 2015 16:32:18 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_blockchain@inbox.com* зашифровано с расширением *id-*_blockchain@inbox.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
На днях столкнулся с тем же самым шифровальщиком. Дмитрий Вовк, попробуйте восстановить систему, встроенным в Windows средством. На одном компьютере мне таки удалось спасти этим способом данные.
23.06.2015 16:22:59, NoName2342.]]> http://forum.esetnod32.ru/messages/forum35/topic13319/message86141/ http://forum.esetnod32.ru/messages/forum35/topic13319/message86141/ Tue, 23 Jun 2015 16:22:59 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_blockchain@inbox.com* зашифровано с расширением *id-*_blockchain@inbox.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/
23.06.2015 15:54:44, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13319/message86136/ http://forum.esetnod32.ru/messages/forum35/topic13319/message86136/ Tue, 23 Jun 2015 15:54:44 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_blockchain@inbox.com* зашифровано с расширением *id-*_blockchain@inbox.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
в архиве Downloads - зашифрованные файлы, в virus  Документ2015.gz вирус, пожалуйста посмотрите и пришлите дешифратор если это возможно. Я отправил файлы на support@esetnod32.ru но пока ни какого ответа не получил, даже о том, что они получили моё письмо.
Спасибо!
Downloads.rar

virus.rar
23.06.2015 14:28:03, Дмитрий Вовк.]]> http://forum.esetnod32.ru/messages/forum35/topic13319/message86129/ http://forum.esetnod32.ru/messages/forum35/topic13319/message86129/ Tue, 23 Jun 2015 14:28:03 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_blockchain@inbox.com* зашифровано с расширением *id-*_blockchain@inbox.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Спасибо большое! Отправил все необходимые данные в техподдержку, жду ответа.
17.06.2015 10:52:41, Юрий Полуэктов.]]> http://forum.esetnod32.ru/messages/forum35/topic13319/message86033/ http://forum.esetnod32.ru/messages/forum35/topic13319/message86033/ Wed, 17 Jun 2015 10:52:41 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_blockchain@inbox.com* зашифровано с расширением *id-*_blockchain@inbox.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
да, я проверил его на Virustotal.com
https://www.virustotal.com/ru/file/4250399b026e215c0a7e5d623c62711550e6147f49fd1ee6­26e59820bcb287c3/analysis/1434006333/

но техподдержке возможно нужен будет для процесса расшифровки.
--------
тут и подозревать не надо, сразу в корзину, если вам прислали бухгалтерский документ в архиве, но с расширением exe.
11.06.2015 10:58:10, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13319/message85941/ http://forum.esetnod32.ru/messages/forum35/topic13319/message85941/ Thu, 11 Jun 2015 10:58:10 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_blockchain@inbox.com* зашифровано с расширением *id-*_blockchain@inbox.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
После проверки на одном ПК вот что написал нод32: "C:\Users\user\Downloads\Перерасчет по итогам первого квартала 2015 года.rar = GZIP = Перерасчет по итогам первого квартала 2015 года.exe - модифицированный Win32/Injector.CCMZ троянская программа - удален - изолирован"
Это как раз тот файл который был под подозрением.
11.06.2015 10:55:15, Юрий Полуэктов.]]> http://forum.esetnod32.ru/messages/forum35/topic13319/message85940/ http://forum.esetnod32.ru/messages/forum35/topic13319/message85940/ Thu, 11 Jun 2015 10:55:15 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_blockchain@inbox.com* зашифровано с расширением *id-*_blockchain@inbox.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
в support@esetnod32.ru:
добавить в архиве с паролем infected вирусное тело,
можно добавить текст письма,
+
добавьте несколько зашифрованных файлов разных типов:
к примеру doc, xls, jpg
+
можно указать ссылку на эту тему форума.
11.06.2015 10:35:12, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13319/message85938/ http://forum.esetnod32.ru/messages/forum35/topic13319/message85938/ Thu, 11 Jun 2015 10:35:12 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_blockchain@inbox.com* зашифровано с расширением *id-*_blockchain@inbox.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Отправил
11.06.2015 10:33:44, Юрий Полуэктов.]]> http://forum.esetnod32.ru/messages/forum35/topic13319/message85937/ http://forum.esetnod32.ru/messages/forum35/topic13319/message85937/ Thu, 11 Jun 2015 10:33:44 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_blockchain@inbox.com* зашифровано с расширением *id-*_blockchain@inbox.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Ключ есть. Еще если интересно во вложении текст письма.
Еще вопрос: что написать в письме в техподдержку кроме ключа?
письмо.txt
11.06.2015 10:23:49, Юрий Полуэктов.]]> http://forum.esetnod32.ru/messages/forum35/topic13319/message85936/ http://forum.esetnod32.ru/messages/forum35/topic13319/message85936/ Thu, 11 Jun 2015 10:23:49 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_blockchain@inbox.com* зашифровано с расширением *id-*_blockchain@inbox.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
по логу скрипта
--------------------------------------------------------
regt 27
--------------------------------------------------------
Удаление всех политик Google Chrome...
RegOpenKeyRead (machine):  [Не удается найти указанный файл. ]
RegOpenKeyRead (user):  [Не удается найти указанный файл. ]
Операция завершена.
=============

по расшифровке документов.
если есть лицензия на наш антивирус, напишите в техподдержку support@esetnod32.ru
если это из семейства encoder.741, то то возможно случай для расшифровки не безнадежный.
11.06.2015 10:19:49, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13319/message85935/ http://forum.esetnod32.ru/messages/forum35/topic13319/message85935/ Thu, 11 Jun 2015 10:19:49 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_blockchain@inbox.com* зашифровано с расширением *id-*_blockchain@inbox.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Лог во вложении. Пока проблем нет но файлы зашифрованы.
2015-06-11_10-06-48_log.txt
11.06.2015 10:14:03, Юрий Полуэктов.]]> http://forum.esetnod32.ru/messages/forum35/topic13319/message85934/ http://forum.esetnod32.ru/messages/forum35/topic13319/message85934/ Thu, 11 Jun 2015 10:14:03 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_blockchain@inbox.com* зашифровано с расширением *id-*_blockchain@inbox.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
На почту отправил файл на который грешим.
11.06.2015 10:01:31, Юрий Полуэктов.]]> http://forum.esetnod32.ru/messages/forum35/topic13319/message85933/ http://forum.esetnod32.ru/messages/forum35/topic13319/message85933/ Thu, 11 Jun 2015 10:01:31 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_blockchain@inbox.com* зашифровано с расширением *id-*_blockchain@inbox.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
1. судя по системе (XP) восстановление документов из теневой копии невозможно.

2. по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v3.85.23 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\APPLICATION DATA\174.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\APPLICATION DATA\TASKHOST.EXE
hide %SystemDrive%\PROGRAM FILES\VENTA\VENTAFAX & VOICE\VFMANAGER.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\19887033\19887033.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://BROWSERHELP2.RU

delref HTTP://QIP.RU

delref HTTP://SEARCH.QIP.RU

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart
=============
перезагрузка, пишем о старых и новых проблемах.
+
добавьте лог выполнения скрипта uVS
это файл: дата_времяlog.txt из папки uVS
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
11.06.2015 10:00:06, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13319/message85932/ http://forum.esetnod32.ru/messages/forum35/topic13319/message85932/ Thu, 11 Jun 2015 10:00:06 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_blockchain@inbox.com* зашифровано с расширением *id-*_blockchain@inbox.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Автозапуск сделал, во вложении.
ZGLAVBUH_2015-06-11_09-41-22.7z
11.06.2015 09:47:04, Юрий Полуэктов.]]> http://forum.esetnod32.ru/messages/forum35/topic13319/message85931/ http://forum.esetnod32.ru/messages/forum35/topic13319/message85931/ Thu, 11 Jun 2015 09:47:04 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_blockchain@inbox.com* зашифровано с расширением *id-*_blockchain@inbox.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
скорее всего вариант encoder.741

1. добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

2. если сохранилось тело шифратора, или ссылка из адрес скачивания, вышлите в почту safety@chklst.ru
в архиве, с паролем infected
11.06.2015 09:36:31, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13319/message85930/ http://forum.esetnod32.ru/messages/forum35/topic13319/message85930/ Thu, 11 Jun 2015 09:36:31 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_blockchain@inbox.com* зашифровано с расширением *id-*_blockchain@inbox.com* возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Здравствуйте! Подловили шифровальщик "Текстовый документ.txt.id-4701762356_blockchain@inbox". Во вложении пара файлов.
CA.rar
11.06.2015 09:30:28, Юрий Полуэктов.]]> http://forum.esetnod32.ru/messages/forum35/topic13319/message85929/ http://forum.esetnod32.ru/messages/forum35/topic13319/message85929/ Thu, 11 Jun 2015 09:30:28 +0300 Шифровальщики файлов и подбор дешифраторов