Закрыто файлы зашифрованы расширение 8lock8

Тема в разделе "Лечение компьютерных вирусов", создана пользователем hsn, 21 апр 2016.

Статус темы:
Закрыта.
  1. hsn
    Оффлайн

    hsn Новый пользователь

    Сообщения:
    5
    Симпатии:
    3
    Доброго времени суток всем.
    Есть сетевой диск - WD My Cloud. С нескольких компьютеров к нему есть доступ. В один день файлы на диске оказались зашифрованы. По типу файлов - фото, документы и архивы. Сохранено оригинальное имя файла вместе с расширением, добавлено новое расширение - 8lock8. Пример: filename.jpg.8lock8 . Поиск в гугле и яндексе по запросу 8lock8 ничего не дал. Зашифрованы не все файлы - возможно работа шифровальщика была прервана. Нет и сообщений о плате за расшифровку, характерных для вирусов вымогателей. Компьютеры в данный момент проверяются антивирусами(полная проверка). В логах антивирусов на момент появления зашифрованных файлов ничего подозрительного не обнаружено. Но самое тревожное - это то, что нет сведений в интернете. Может кто-нибудь знает - что это за шифровальщик?
    Заранее всем спасибо.
     
    SNS-amigo нравится это.
  2. hsn
    Оффлайн

    hsn Новый пользователь

    Сообщения:
    5
    Симпатии:
    3
    Нашли следы шифровальщика на одной машине - файл READ_IT.txt
    Содержимое файла:
    Files have been encrypted!Файлы были зашифрованы
    It uses cryptographically strong algorithm!Используется криптостойкий алгоритм
    contact by e-mail: d1d81238@tuta.io or d1d81238@india.com
    to identify , use lower hash!для идентификации используйте нижний хэш
    Eg6qUu+1j8vIPed1BYW9F4TC34w=
    Пользователь заметив что-то неладное отключил машину от сети и перезагрузил, этим объясняется почему не все файлы на сетевом диске были зашифрованы. Антивирус стоит Kaspersky 365. Пропустил шифровальщика.
     
    Последнее редактирование модератором: 22 апр 2016
    SNS-amigo нравится это.
  3. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
  4. hsn
    Оффлайн

    hsn Новый пользователь

    Сообщения:
    5
    Симпатии:
    3
    Простите за задержку.
    Не могу прикрепить файлы - при попытке прикрепить файлы выскакивает сообщение: "При загрузке файла возникла проблема."
    Сохранил на яндекс диске. Ссылка - Files
    Obrazec.zip - образец зашифрованного файла
    identify.zip - файл с идентификатором, оставленный шифровальщиком
    CollectionLog-2016.04.27-10.45.zip - отчеты, созданные в AutoLogger
    --- Объединённое сообщение, 27 апр 2016 ---
    После открытия темы в новой вкладке удалось прикрепить файлы.
    Obrazec.zip - образец зашифрованного файла
    identify.zip - файл с идентификатором, оставленный шифровальщиком
    CollectionLog-2016.04.27-10.45.zip - отчеты, созданные в AutoLogger
     

    Вложения:

  5. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    Логи собирали на машине, на которой запустили шифратор?
     
  6. hsn
    Оффлайн

    hsn Новый пользователь

    Сообщения:
    5
    Симпатии:
    3
    Да, на той машине, где "работал" шифровальщик.
     
  7. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    Без тела шифровальщика проблематично будет узнать алгоритм шифрования
     
  8. hsn
    Оффлайн

    hsn Новый пользователь

    Сообщения:
    5
    Симпатии:
    3
    Это понятно, только как его найти. Зачистить бы компьютер от следов зловреда. И про шифровальщик какую-нибудь информацию хотелось бы узнать - гугл и яндекс по запросу "8lock8" ничего не выдают.
     
    SNS-amigo нравится это.
  9. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    Логи не показали ничего плохого.

    Скачайте Farbar Recovery Scan Tool [​IMG] и сохраните на Рабочем столе.
    • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

    1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
    [​IMG]
    3. Нажмите кнопку Scan.
    4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
    5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
    6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
    Открываете сервис ID Ransomware, выбираете русский язык.
    ID Ransomware
    Рассказано о нём со ссылками на описания криптовымогателей тут:
    http://safezone.cc/threads/shifrovalschiki-vymogateli-informacija-i-sposoby-zaschity.27429/page-3

    Загружаете туда файлы файл READ_IT.txt и incompatible.txt.8lock8

    Получаете результат: MireWare
    Ссылка для подробностей:
    MireWare (.bleeped - f**k) Ransomware Support and Help Topic - READ_IT.txt - Ransomware Tech Support and Help

    По некоторым сведениям, вредонос создан в конце прошлого года на основе конструктора HiddenTear некой мусульманской (предпологалось: турецкой или индонезийской) группировкой для осуществления атак на пользователей и организации в Индии, Индонезии, Бангладеш и других стран Азии.
    Есть упрощенные версии для Ирана, России и ряда других стран. Различаются наличием текста на языке страны-цели.
    Распространялся еще в декабре-январе, но доходят до сих пор.

    Работа C&C-серверов уже давно заблокирована, ключи дешифрования недоступны.

    Один из поздних криптовымогателей разработчиков MireWare Ransomware называется KimcilWare Ransomware, географически индонезийского происхождения.
    Ссылка для дополнительной информации: KimcilWare Ransomware: How to Decrypt Encrypted Files and who is Behind It
     
    Последнее редактирование модератором: 9 май 2016
    akok и Kиpилл нравится это.
Статус темы:
Закрыта.

Поделиться этой страницей