Закрыто email-trojanencoder@aol.com.ver-CL 1.2.0.0.id-....

Тема в разделе "Лечение компьютерных вирусов", создана пользователем kpfk, 8 апр 2016.

Статус темы:
Закрыта.
  1. kpfk
    Оффлайн

    kpfk Новый пользователь

    Сообщения:
    3
    Симпатии:
    0
    Логов нет, пишу с другого компа. Вирус я удалил вручную без AVZ и т.д., просто фаром нашёл одновременно созданные файлы в многопользовательском терминал-сервере и снял процесс
    "C:\Program Files\unrar.inc\data container\service.exe"
    Шифровка не продолжается, других зря работающих процессов не было. Но меня позвали когда чёрное дело закончилось. 6.04.2016 в ~12ч. начало, в 14:30 конец.
    Доступа к тому серверу сейчас нет, волнует расшифровка взятых образцов из его "файлопомойки".

    Касперский онлайн сканер выдал на первый открытый из почты JS:
    Найденные угрозы HEUR:Trojan-Downloader.Script.Generic
    Размер файла 7,19KB
    Тип файла TXT
    Дата проверки 2016-04-07 12:03:36
    Дата выпуска баз 2016-04-07 08:37:43 UTC
    MD5 9d96e1e0528f6b6f1234c8562435d61e

    Тот js скачивал .scr (data.lzh)
    Результат проверки файл заражен
    Найденные угрозы Trojan.Win32.Inject.wagh
    Размер файла 465,12KB
    Тип файла ARC/RAR
    Дата проверки 2016-04-07 10:41:42
    Дата выпуска баз 2016-04-07 07:37:09 UTC
    MD5 36e26b6affaa1b1431d88eed1ff3d7b8
    SHA1 20cf6db1898806f3b4bde0b6944fd72ce8d55e78

    Есть ли готовый декриптор под этот вирус, напишите его название. А то тут сильно странный форум, система изолированных отсеков, чужой опыт прочесть не могу. Бэкапы не делались, файлы не сильно важные, платить вымогателям за них не станут.
     

    Вложения:

    • crypted-aol.7z
      Размер файла:
      1 МБ
      Просмотров:
      2
  2. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.469
    Симпатии:
    865
    Значит идите делайте логи. Я не телепат.
     
  3. kpfk
    Оффлайн

    kpfk Новый пользователь

    Сообщения:
    3
    Симпатии:
    0
    Логи frst выкладываю, но там ничего нет ПМСМ. Ещё вредный js из письма и ссылки на скачку .scr (data.lzh).

    Тот факт, что вирус поменял картинку раб. стола и скачал и выполнил .exe файл, малоинтересен.

    Логи хакерской программы "Search keys.exe" - это data.ini? Она 2 ключа нашла, а я не могу.
    Тут гораздо внятнее описано: Лечение вируса-шифровальщика trojanencoder@aol.com | Сервисный Центр Краснодар

    В виртуалке вирус зачем-то 2-3 раза копирует своё тело
    и создает в c:\program files\ файлы 80-81 байт
    вида:
    oknhtemrhi.wqw
    второй раз:
    SBJACSPIFP.LIM

    с содержимым
    Код (Text):

    BCDLID
    noneend
    IDXRMFZTNHAVOIBVPJCWQKEXSLFYTMGAUNIB-08.04.2016 3@03@148992037
     
    в конце чёрного дела файл становится
    BCDLID
    endend
    IDXRMFZTNHAVOIBVPJCWQKEXSLFYTMGAUNIB-08.04.2016 3@03@148992037

    временный bat файл вытирается потом, протокол работы вируса из filemonitor слишком толстый.
     

    Вложения:

    Последнее редактирование: 8 апр 2016
  4. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.469
    Симпатии:
    865
    У вас проблемы с чтением правил?
     
  5. kpfk
    Оффлайн

    kpfk Новый пользователь

    Сообщения:
    3
    Симпатии:
    0
    Система не переустанавливалась, помощь в лечении не нужна.
    Расшифровка только. Может подскажете стандартное средство, если оно уже существует.
    А то про прошлогодний .vault все дружно говорили, что RSA-1024 в этом веке не расшифруешь, а потом Касперский выпустил утилиту scatter decryptor.
     
  6. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.469
    Симпатии:
    865
    Третий раз просить вас прислать нужные отчеты для оценки ситуации я не буду.

    Тема закрыта
    .
     
Статус темы:
Закрыта.

Поделиться этой страницей