Решена вирус зашифровал doc, docx, xls, pdf, jpg, rar и сменил их разрешение на com_102

Тема в разделе "Лечение компьютерных вирусов", создана пользователем kaatmiin, 14 июл 2013.

Статус темы:
Закрыта.
  1. kaatmiin
    Оффлайн

    kaatmiin Новый пользователь

    Сообщения:
    5
    Симпатии:
    3
    Здравствуйте!
    Вирус проникший на компьютер из вложения электронной почты (ссылка на него осталась в почтовом ящике) стал воздействовать на файлы jpg, что заметили сразу и выключили компьютер. После повторного включения через диспетчер задач был найден активный процесс с названием "Постановление суда" в папке "Автозагрузка". Процесс был принудительно вручную остановлен. Приложение также вручную удалено. После этого компьютер был проверен штатным антивирусом AVG Internet Security и утилитой DrWeb Curelt, ничего не обнаружено. В результате действия вируса были сменены расширения большого количества файлов doc, docx, xls, xlsx, rar, pdf, jpg на расширение com_102. Воздействие было оказано на все диски компьютера. После этого системный диск был восстановлен из образа, созданного за 5 дней до этого программой "Acronis True Image". Но зашифровано большое количество файлов на не системных дисках.
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      47 КБ
      Просмотров:
      3
    • virusinfo_syscheck.zip
      Размер файла:
      46,7 КБ
      Просмотров:
      3
    • log.txt
      Размер файла:
      116,8 КБ
      Просмотров:
      2
    • info.txt
      Размер файла:
      36,8 КБ
      Просмотров:
      2
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую kaatmiin, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Трояны-шифровальщики. Как восстановить зашифрованные файлы?

    Вам необходим раздел который посвящен отправке файлов вирлабам для подбора лекарства (от себя посоветую обратиться именно в drweb, они оперативно работают). Отправьте им несколько зашифрованных файлов + ссылку на вредонос + что требовал вымогатель).
    Смотреть логи нет смысла, acronis уже все сделал за нас. Что ответит вирлаб опубликуйте, пожалуйста.
     
  4. kaatmiin
    Оффлайн

    kaatmiin Новый пользователь

    Сообщения:
    5
    Симпатии:
    3
    DrWeb не помог. А вымогатель ничего потребовать не успел, вирус был удален до полного завершения своей работы. Удалось сохранить процентов 10 фотографий.
     
  5. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.475
    Симпатии:
    3.099
    Это RectorRSA
    Без оригинального дешифратора не обойтись. А он в вирлабы так и не попал
     
  6. kaatmiin
    Оффлайн

    kaatmiin Новый пользователь

    Сообщения:
    5
    Симпатии:
    3
    Dr Web ответил (зашифрованный и не зашифрованный файлы им посылались):
    Файлы зашифровны одним из новых вариантов троянской программы Trojan.Encoder.102
    К сожалению, на данный момент у нас нет способа их расшифровать.
    Также, увы, нет никакой надежды, что кто-либо сможет подобрать/вычислить ключ для расшифровки - эффективных алгоритмов факторизации для шифра RSA современной науке не известно.
    Ключ для расшифровки данных, зашифрованных Encoder.102, можно получить/изъять только у автора троянца.

    Таким образом, основная рекомендация : обратитесь с заявлением в территориальное управление "К" МВД РФ;
    по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.
    Образцы заявлений, а также ссылка на госпортал ("Порядок приема сообщений о происшествии в органах внутренних дел РФ") есть на нашем сайте: http://legal.drweb.com/templates
    Возможно, в результате полицейской акции поймают автора/"хозяина" троянца и вытрясут из него шифроключ.

    ---

    Cуществует возможность частичного восстановления (реконструкции) некоторых файлов, зашифрованных encoder.102, без их расшифровки
    (расшифровка без приватной половины ключевой пары невозможна).
    Только некоторых, и только частично.
    Фактически такой подход основывается на том, что шифровщик типа Encoder.102 вносит в файл относительно немного изменений.
    И т.к. в данные внесено относительно немного изменений, локализованных в известных местах файла, то на это можно посмотреть просто как на повреждение файла, которое, возможно, поддается исправлению.
    При этом следует иметь в виду, что реконструированный файл никогда не возвращается в исходное, как было до зашифровки, состояние.
    Особенно актуально для офисных doc/xls , в которых после реконструкции могут измениться данные на первых старницах.
    Было написано 100 , а станет 500 - такое запросто может случиться.

    Да, у нас есть утилита, которая кое-что умеет делать в этом плане:
    http://download.geo.drweb.com/pub/drweb/tools/te102decrypt.exe

    В вашем случае нужна новейшая версия te102decrypt (не ниже версии 1.4.3.0)

    Единственный осмысленный способ ее применения в вашем случае следующий:
    te102decrypt.exe -k h15 -e .mboaue@aol.com_102
    или :
    te102decrypt.exe -k h15 -e .mboaue@aol.com_102 D:\Path
    - так деятельность реконструктора ограничится только тем, что найдется в указанном каталоге D:\Path

    Рядом с каждым файлом, который утилита определит как зашифрованный, и с форматом которого она надеется выполнить осмысленную попытку восстановления,
    будут созданы файлы вида исходное_имя.XX.rebuildYYY.исходное_расширение
    На один зашифрованный вариант может быть создано несколько возможных вариантов восстановления, теоретически имеющих смысл.

    В лучшем случае te102decrypt сможет восстановить кое-что из файлов формата jpg/doc/xls
    Не более того.

    docx/xlsx/pptx эвристическому восстановлению (без полноценной расшифровки) не поддаются.
    (я думаю, никакими recovery-утилитами такое не чинится).

    С уважением, Колядко Михаил,
    служба технической поддержки компании "Доктор Веб".
     
    Dragokas нравится это.
  7. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.475
    Симпатии:
    3.099
    Ну так и я о чем :)
    С этим шифровальщиком на первый план выходит известное выражение "Спасение утопающих - дело рук самих утопающих", как бы прискорбно это не звучало
     
    1 человеку нравится это.
  8. kaatmiin
    Оффлайн

    kaatmiin Новый пользователь

    Сообщения:
    5
    Симпатии:
    3
    Объясните, пожалуйста "утопающему", что специалист DrWeb посоветовал:
     
  9. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Это попытка заменить зашифрованные места "пустышками", чтоб спасти часть информации.
     
  10. kaatmiin
    Оффлайн

    kaatmiin Новый пользователь

    Сообщения:
    5
    Симпатии:
    3
    После применения программы
    http://download.geo.drweb.com/pub/drweb/tools/te102decrypt.exe
    из командной строки с рекомендованными DrWeb параметрами
    восстановились файлы jpg почти все;
    файлы doc, xls многие;
    файлы pdf, rar, docx, xlsx не восстановились
     
    Dragokas и glax24 нравится это.
  11. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
Статус темы:
Закрыта.

Поделиться этой страницей