Решена вирус зашифровал doc, docx, xls, pdf, jpg, rar и сменил их разрешение на com_102

Статус
В этой теме нельзя размещать новые ответы.

kaatmiin

Новый пользователь
Сообщения
5
Реакции
3
Здравствуйте!
Вирус проникший на компьютер из вложения электронной почты (ссылка на него осталась в почтовом ящике) стал воздействовать на файлы jpg, что заметили сразу и выключили компьютер. После повторного включения через диспетчер задач был найден активный процесс с названием "Постановление суда" в папке "Автозагрузка". Процесс был принудительно вручную остановлен. Приложение также вручную удалено. После этого компьютер был проверен штатным антивирусом AVG Internet Security и утилитой DrWeb Curelt, ничего не обнаружено. В результате действия вируса были сменены расширения большого количества файлов doc, docx, xls, xlsx, rar, pdf, jpg на расширение com_102. Воздействие было оказано на все диски компьютера. После этого системный диск был восстановлен из образа, созданного за 5 дней до этого программой "Acronis True Image". Но зашифровано большое количество файлов на не системных дисках.
 

Вложения

  • virusinfo_syscure.zip
    47 KB · Просмотры: 4
  • virusinfo_syscheck.zip
    46.7 KB · Просмотры: 4
  • log.txt
    116.8 KB · Просмотры: 4
  • info.txt
    36.8 KB · Просмотры: 3
Приветствую kaatmiin, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 
Трояны-шифровальщики. Как восстановить зашифрованные файлы?

Вам необходим раздел который посвящен отправке файлов вирлабам для подбора лекарства (от себя посоветую обратиться именно в drweb, они оперативно работают). Отправьте им несколько зашифрованных файлов + ссылку на вредонос + что требовал вымогатель).
Смотреть логи нет смысла, acronis уже все сделал за нас. Что ответит вирлаб опубликуйте, пожалуйста.
 
DrWeb не помог. А вымогатель ничего потребовать не успел, вирус был удален до полного завершения своей работы. Удалось сохранить процентов 10 фотографий.
 
Это RectorRSA
Без оригинального дешифратора не обойтись. А он в вирлабы так и не попал
 
Dr Web ответил (зашифрованный и не зашифрованный файлы им посылались):
Файлы зашифровны одним из новых вариантов троянской программы Trojan.Encoder.102
К сожалению, на данный момент у нас нет способа их расшифровать.
Также, увы, нет никакой надежды, что кто-либо сможет подобрать/вычислить ключ для расшифровки - эффективных алгоритмов факторизации для шифра RSA современной науке не известно.
Ключ для расшифровки данных, зашифрованных Encoder.102, можно получить/изъять только у автора троянца.

Таким образом, основная рекомендация : обратитесь с заявлением в территориальное управление "К" МВД РФ;
по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.
Образцы заявлений, а также ссылка на госпортал ("Порядок приема сообщений о происшествии в органах внутренних дел РФ") есть на нашем сайте: http://legal.drweb.com/templates
Возможно, в результате полицейской акции поймают автора/"хозяина" троянца и вытрясут из него шифроключ.

---

Cуществует возможность частичного восстановления (реконструкции) некоторых файлов, зашифрованных encoder.102, без их расшифровки
(расшифровка без приватной половины ключевой пары невозможна).
Только некоторых, и только частично.
Фактически такой подход основывается на том, что шифровщик типа Encoder.102 вносит в файл относительно немного изменений.
И т.к. в данные внесено относительно немного изменений, локализованных в известных местах файла, то на это можно посмотреть просто как на повреждение файла, которое, возможно, поддается исправлению.
При этом следует иметь в виду, что реконструированный файл никогда не возвращается в исходное, как было до зашифровки, состояние.
Особенно актуально для офисных doc/xls , в которых после реконструкции могут измениться данные на первых старницах.
Было написано 100 , а станет 500 - такое запросто может случиться.

Да, у нас есть утилита, которая кое-что умеет делать в этом плане:
http://download.geo.drweb.com/pub/drweb/tools/te102decrypt.exe

В вашем случае нужна новейшая версия te102decrypt (не ниже версии 1.4.3.0)

Единственный осмысленный способ ее применения в вашем случае следующий:
te102decrypt.exe -k h15 -e .mboaue@aol.com_102
или :
te102decrypt.exe -k h15 -e .mboaue@aol.com_102 D:\Path
- так деятельность реконструктора ограничится только тем, что найдется в указанном каталоге D:\Path

Рядом с каждым файлом, который утилита определит как зашифрованный, и с форматом которого она надеется выполнить осмысленную попытку восстановления,
будут созданы файлы вида исходное_имя.XX.rebuildYYY.исходное_расширение
На один зашифрованный вариант может быть создано несколько возможных вариантов восстановления, теоретически имеющих смысл.

В лучшем случае te102decrypt сможет восстановить кое-что из файлов формата jpg/doc/xls
Не более того.

docx/xlsx/pptx эвристическому восстановлению (без полноценной расшифровки) не поддаются.
(я думаю, никакими recovery-утилитами такое не чинится).

С уважением, Колядко Михаил,
служба технической поддержки компании "Доктор Веб".
 
Ну так и я о чем :)
С этим шифровальщиком на первый план выходит известное выражение "Спасение утопающих - дело рук самих утопающих", как бы прискорбно это не звучало
 
Объясните, пожалуйста "утопающему", что специалист DrWeb посоветовал:
Единственный осмысленный способ ее применения в вашем случае следующий:
te102decrypt.exe -k h15 -e .mboaue@aol.com_102
или :
te102decrypt.exe -k h15 -e .mboaue@aol.com_102 D:\Path
- так деятельность реконструктора ограничится только тем, что найдется в указанном каталоге D:\Path
 
Это попытка заменить зашифрованные места "пустышками", чтоб спасти часть информации.
 
После применения программы
http://download.geo.drweb.com/pub/drweb/tools/te102decrypt.exe
из командной строки с рекомендованными DrWeb параметрами
Единственный осмысленный способ ее применения в вашем случае следующий:
te102decrypt.exe -k h15 -e .mboaue@aol.com_102
или :
te102decrypt.exe -k h15 -e .mboaue@aol.com_102 D:\Path
- так деятельность реконструктора ограничится только тем, что найдется в указанном каталоге D:\Path
восстановились файлы jpg почти все;
файлы doc, xls многие;
файлы pdf, rar, docx, xlsx не восстановились
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу