Закрыто HEUR:Trojan.Win32.Generic дешифровка файлов

Тема в разделе "Лечение компьютерных вирусов", создана пользователем D'Dragon, 11 сен 2013.

Статус темы:
Закрыта.
  1. D'Dragon
    Оффлайн

    D'Dragon Эксперт клуба THG Команда форума Модератор

    Сообщения:
    77
    Симпатии:
    69
    Вирус судя по Кассперскому HEUR:Trojan.Win32.Generic зашифровал и переименовал расширение всех doc\xls\jpg файлов, нужен дешефратор.

    Примеры файлов до и после шифровки (расширение +sos@ausi.com_ZQ512)
    http://into.rusfolder.net/files/37986821

    Картинка вымогателя с отсылкой на мыло:
    [​IMG]

    P.S. Основные файлы вируса были прописаны в Автозагрузки в главном меню пользователя. Др файлов не было, если нужно могу сделать логи AVZ, но не думаю что это сильно поможет...
     
    Последнее редактирование модератором: 11 сен 2013
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую D'Dragon, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. D'Dragon
    Оффлайн

    D'Dragon Эксперт клуба THG Команда форума Модератор

    Сообщения:
    77
    Симпатии:
    69
    Ботан, на данный момент нет доступа к тому ПК, если логи чем то помогут могу сделать и выложить их завтра...
     
  4. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    http://www.thg.ru/forum/showthread.php?p=1861493 - там тоже уберите ссылку на вирус и не выкладывайте его в своих постах, а то могут ведь скачать и заразиться . Тем более у вас архив без пароля. Логи нужны в любом случае, так как возможно вы ещё ещё не все файлы от вируса удалили.

    + не знаю, чего там вам сейчас насоветуют на других форумах, так что хочу заранее предупредить, что бездумно перебирая утилиты для дешифровки вы рискуете потерять свои файлы окончательно.
     
  5. D'Dragon
    Оффлайн

    D'Dragon Эксперт клуба THG Команда форума Модератор

    Сообщения:
    77
    Симпатии:
    69
    regist, спасибо за ответ, ссылку убрал, чтобы не заразиться я расширения файла сменил, впрочем подстраховаться не мешает...
    Хорошо логи завтра постараюсь сделать, повторной порчи файлов не было, +ПК просканил 3 антивирусами (Avira, Dr.Web, Kaspersky) вирус увидел только Kaspersky...
    Это понятно, все шифрованные файлы дополнительно залиты в архив, взяты копии некоторых файлов на них и буду проводить эксперименты причём на другом ПК их порча роли не играет...

    Если найду подходящий дешифратор тогда и буду расшифровкой заниматься, но копии всё равно на время оставлю...

    Так что с сохранностью инфы проблем быть не должно, мне сейчас важно выудить эту инфу...
     
  6. D'Dragon
    Оффлайн

    D'Dragon Эксперт клуба THG Команда форума Модератор

    Сообщения:
    77
    Симпатии:
    69
    Сделал логи AVZ\HiJackThis, прикрепляю:
     

    Вложения:

  7. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Профиксите в HijackThis

    Код (Text):
    R3 - URLSearchHook: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
    O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
    O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
     
    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Подробнее читайте в руководстве
    ---------------------
    дешифратором никто не поделился.

    ЗЫ, утилиты генератора кодов не существует, вебовцы сами пароли брутфорсом подбирают, но только для своих клиентов. Так что единственный выход ждать пока кто-то купить дешифратор и поделится. Либо если есть лицензия на доктора можете обратиться в их . тех. поддержку.
     
  8. D'Dragon
    Оффлайн

    D'Dragon Эксперт клуба THG Команда форума Модератор

    Сообщения:
    77
    Симпатии:
    69
    regist, спасибо сделаю, ПК не под рукой к сожалению так что завтра что нужно выложу...

    Уже ищу на счёт лицензии, у меня к сожалению нет(

    Добавлено через 18 минут 45 секунд
    Нашёл на форуме drweb тему с указанием моего вируса-шифровальщика:
    http://forum.drweb.com/index.php?showtopic=315142

    Дополнительное расширение *.sos@ausi.com_ZQxxx, контактный email - sos@ausi.com

    Информация по трояну: Trojan.Encoder.293 - видоизмененный Trojan.Encoder.102, который сильнее портит файлы.

    Он самый, вопрос что делать дальше учитывая что у меня нет ключа на drweb...
     
  9. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    D'Dragon, примерно тоже самое я написал выше

    так что остаётся только ждать и надеяться, что кто-то купит дешифратор и поделится на форумах им. Правда самостоятельно применять этот дешифратор не стоит, так как существует риск потерять всё.
     
  10. D'Dragon
    Оффлайн

    D'Dragon Эксперт клуба THG Команда форума Модератор

    Сообщения:
    77
    Симпатии:
    69
    regist, вот лог Malwarebytes' Anti-Malware.
     

    Вложения:

  11. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.451
    Симпатии:
    13.950
    В MBAM можно удалить только:
    Код (Text):
    Обнаруженные ключи в реестре:  2
    HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
     
  12. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    Не в этом случае. Здесь RSA, обрамленный двумя XOR
     
  13. D'Dragon
    Оффлайн

    D'Dragon Эксперт клуба THG Команда форума Модератор

    Сообщения:
    77
    Симпатии:
    69
    akoK, thyrex, то есть пока совет тот же, искать ключ на Drweb и ждать не всплывёт ли дешифровщик на форуме?

    Может ещё что-то можно предпринять?
     
  14. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    Без оригинального дешифратора не обойтись
     
  15. D'Dragon
    Оффлайн

    D'Dragon Эксперт клуба THG Команда форума Модератор

    Сообщения:
    77
    Симпатии:
    69
    Хорошо перефразирую вопрос...

    Где можно найти оригинальный дешифратор, кроме варианта "выкупа" у злоумышленников?
     
  16. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    нигде.
     
Статус темы:
Закрыта.

Поделиться этой страницей