santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

зашифровано с расширением id-*[email protected], Filecoder.DG

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.01.2015 18:30:15

судя по заставке, и по исполняемому файлу, похож на шифратор *[email protected]

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.01.2015 18:28:28

еще один свежий вид шифратора.

судя по тексту, слегка модифицированный вариант с *[email protected]
т.е. Trojan.Encoder.741/по классификации ДрВеб/
судя по исполняемому файлу из автозапуска - он же

ESET сейчас детектирует как

https://www.virustotal.com/ru/file/ddc676a3f583618b05dea0f97f54d4a3eddbda65765b22768a0433026c426441/...
ESET-NOD32 Win32/Filecoder.NAM

Изменено: santy - 28.01.2015 18:41:41

[ Как создать образ автозапуска? ]

Перейти

[email protected], файлы зашифрованы [email protected]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.01.2015 14:33:54

по очистке системы
1.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\АРХИВНАЯ ДОКУМЕНТАЦИЯ О ПРИВЛЕЧЕНИИ В КАЧЕСТВЕ СВИДЕТЕЛЯ ПО ГРАЖДАНСКОМУ ДЕЛУ №673265.EXE addsgn 1A58D19A5583C58CF42B627DA804DEC9E94677A2ADF69434A1C7406E24BF428CA953E75FBA95E85FAA7A049F46163BF4FEE2E8370CDAB058289EB288C70675F8 8 Win32/Filecoder.CQ [ESET-NOD32] ;------------------------autoscript--------------------------- chklst delvir delnfr ;------------------------------------------------------------- czoo restart

Код

;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\АРХИВНАЯ ДОКУМЕНТАЦИЯ  О ПРИВЛЕЧЕНИИ  В КАЧЕСТВЕ СВИДЕТЕЛЯ ПО ГРАЖДАНСКОМУ ДЕЛУ №673265.EXE
addsgn 1A58D19A5583C58CF42B627DA804DEC9E94677A2ADF69434A1C7406E24BF428CA953E75FBA95E85FAA7A049F46163BF4FEE2E8370CDAB058289EB288C70675F8 8 Win32/Filecoder.CQ [ESET-NOD32]

;------------------------autoscript---------------------------

chklst
delvir

delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
2. по расшифровке данных
напишите сообщение в [email protected]
добавьте в сообщение несколько зашифрованных файлов, а так же архив ZOO
+
можно указать ссылку на эту тему

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.01.2015 12:22:47

Filecoder.CQ/Ransom.Win32.Cryakl.be/Trojan.Encoder.567
скачивается скорее всего из сети (в виде архива с исполняемым файлом) по ссылке из почты.
к имени зашифрованного документа добавлено id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}[email protected]
где id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589} - уникальный идентификатор для текущего процесса шифрования.

в автозапуск прописан winrar.exe, и детектируется т.о. (тот вариант что был использован для теста)
https://www.virustotal.com/ru/file/e6c30052d15c6c324ff53ac3403bafed22ce13168a02ca07afeb366130f6507b/...

Цитата
Полное имя C:\PROGRAM FILES\TEMP\WINRAR.EXE Удовлетворяет критериям CURRENTVERSION.RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) Процесс создан 13:18:49 [2015.01.28] С момента создания 00:01:07 parentid = 952 C:\PROGRAM FILES\TEMP\WINRAR.EXE SHA1 24C94F1F8256A2A6FB8AE70BFFC794898459262F MD5 2A65F147BED3039E64F1A2B09F18A9AB Ссылки на объект Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma progrmma C:\Program Files\temp\WINRAR.EXE Ссылка HKEY_USERS\S-1-5-21-2052111302-1383384898-682003330-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\PROGRAM FILES\TEMP\WINRAR.EXE Образы EXE и DLL WINRAR.EXE C:\PROGRAM FILES\TEMP WINRAR.EXE C:\PROGRAM FILES\TEMP

Цитата

Полное имя C:\PROGRAM FILES\TEMP\WINRAR.EXE
Удовлетворяет критериям
CURRENTVERSION.RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)
Процесс создан 13:18:49 [2015.01.28]
С момента создания 00:01:07
parentid = 952 C:\PROGRAM FILES\TEMP\WINRAR.EXE
SHA1 24C94F1F8256A2A6FB8AE70BFFC794898459262F
MD5 2A65F147BED3039E64F1A2B09F18A9AB
Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
progrmma C:\Program Files\temp\WINRAR.EXE
Ссылка HKEY_USERS\S-1-5-21-2052111302-1383384898-682003330-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\PROGRAM FILES\TEMP\WINRAR.EXE
Образы EXE и DLL
WINRAR.EXE C:\PROGRAM FILES\TEMP
WINRAR.EXE C:\PROGRAM FILES\TEMP

процесс шифрования завершается красочным банером вместо обоев системы.

Изменено: santy - 28.01.2015 12:33:35

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Атака путем подделки записей кэша DNS, атака путем подделки записей кэша DNS

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.01.2015 05:51:10

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES\SAFESURF\SURFGUARD.EXE addsgn 0DC977BA156A4C720BD4AEB164C81205258AFCF689FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA79DFEB7255DA802C2DF7AA2FC7067273 63 Win32/Adware.SafeSurf.AC [ESET-NOD32] delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\0.42736045692086955.EXE hide %SystemDrive%\PROGRAM FILES\THE BAT!\THEBAT.EXE hide %SystemDrive%\PROGRAM FILES\AVG\AVG PC TUNEUP\REGISTRYDEFRAG.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://HOME.WEBALTA.RU delref HTTP://WEBALTA.RU/SEARCH deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\SAFESURF\SURFGUARD.EXE
addsgn 0DC977BA156A4C720BD4AEB164C81205258AFCF689FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA79DFEB7255DA802C2DF7AA2FC7067273 63 Win32/Adware.SafeSurf.AC [ESET-NOD32]

delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\0.42736045692086955.EXE
hide %SystemDrive%\PROGRAM FILES\THE BAT!\THEBAT.EXE
hide %SystemDrive%\PROGRAM FILES\AVG\AVG PC TUNEUP\REGISTRYDEFRAG.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://HOME.WEBALTA.RU

delref HTTP://WEBALTA.RU/SEARCH

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.01.2015 21:35:24

видимо ошибка при копировании ссылки из текста
должно быть так:
http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information#shadow

аналогично, для Дропбокса
http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information#dropbox

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.01.2015 14:11:37

расширение какое у зашифрованных файлов?

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *id-*[email protected], Filecoder.DG / Encoder.741

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.01.2015 14:06:28

Виктория Пустовойтова, здесь не надо прикреплять файлы, отправьте в [email protected]

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *id-*[email protected], Filecoder.DG / Encoder.741

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.01.2015 13:33:12

Мария Щукина, дешифратора для данного типа еще нет. поэтому ничего и не расшифровывается.
напишите в [email protected], опишите проблему, добавьте несколько зашифрованных файлов
возможно решение будет найдено

[ Как создать образ автозапуска? ]

Перейти

зашифровано в CTBlocker

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.01.2015 13:26:28

раз никто ничего не помнит, пробуем восстановить данные традиционными методами восстановления.

http://forum.esetnod32.ru/forum35/topic11575/

[ Как создать образ автозапуска? ]

Перейти