Закрыто Помогите расшифровать файлы после email-iizomer@aol.com.ver-CL 1.2.0.0

Тема в разделе "Лечение компьютерных вирусов", создана пользователем xemul, 25 мар 2016.

Статус темы:
Закрыта.
  1. xemul
    Оффлайн

    xemul Новый пользователь

    Сообщения:
    3
    Симпатии:
    0
    Приятель словил "email-iizomer@aol.com.ver-CL 1.2.0.0" 20.03.16 в 12:36.
    Откуда прилетел троян, непонятно. Я просмотрел его локальную почту за 18-20.03, в аттачах ничего подозрительного не нашёл.
    На компе стоит Касперский, который не обновлялся из-за просроченной лицензии.
    Приятель к вечеру сообразил, что рабочие файлы странным образом исчезают, скачал CureIt, который 21.03.16 ~ в 00:45 прекратил это безобразие. (поэтому я не стал создавать тему про лечение)
    Аттачи:
    virus.7z - собственно вирь (пароль virus)
    Files.7z - 3 криптованных .jpg и оригиналы
    frst.7z - логи FRST
    CollectionLog-2016.03.25-16.46.zip - логи AutoLogger, если таки нужно.

    Буду признателен за любую помощь, т.к., пошарившись по тырнету в поисках решения, понял, что моих скиллов для этой задачи не хватит.
     

    Вложения:

    Последнее редактирование модератором: 26 мар 2016
  2. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.474
    Симпатии:
    866
    Информацию восстанавливайте с помощью ShadowExplorer из точек восстановления. Скачать программу можно отсюда http://www.shadowexplorer.com/uploads/ShadowExplorer-0.9-portable.zip


    Какие файлы в папке остались?
     
  3. xemul
    Оффлайн

    xemul Новый пользователь

    Сообщения:
    3
    Симпатии:
    0
    Спасибо за совет, но я уже просмотрел точки восстановления. В последней - откат Firefox'а, в предыдущих тоже ничего интересного.
    На проблемном ноуте резервные точки были включены только для c:\, а основные пострадальцы - d:\ и USB диск (монтируется на g:\ для резервных копий).
    Троян успел зашифровать 12500+ файлов на d:\ и 5000+ на g:\ (прерывал поиск, т.к. долго и бессмысленно).

    В "C:\Program Files (x86)\ConeXware, Inc" остался service.exe, который был переименован в service.exe_ и отправлен в архиве в конфу. Файл идентичен помещённому cureit'ом в карантин из AppData\Temp.
    Я в него потыкал немного палочкой в IDA, но сник, т.к. последний раз занимался этим лет 10 тому.
     
  4. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.474
    Симпатии:
    866
    Расшифровка невозможна.
     
  5. xemul
    Оффлайн

    xemul Новый пользователь

    Сообщения:
    3
    Симпатии:
    0
    Понял, спасибо.
    Похоже, пора организовывать краудфандинг на оплату услуг специалистов по бонтонам и ТРКА. ИМХО, желающих поучаствовать будет достаточно.
    Я тут посмотрел регистрации доменов и IP-адресов "контор", обещающих расшифровку. Занятная картинка рисуется.
     
  6. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Можете рассказать про это тут http://safezone.cc/threads/25232/
     
Статус темы:
Закрыта.

Поделиться этой страницей