Опасный вирус в локалке шифрует файлы

[ArcherV]

Добрый день!

Спасибо Вам за утилиту.

Подхватил модификацию такого же вируса, только файлам присваивает дополнительное расширение .banan@blader.com_xxx, где xxx - цифры-буквы.

Прошу сделать модификацию Вашего декодера для этого варианта.

Примеры зашифрованных файлов прилагаю.

[pertcevnikolay]

Спасибо большое за проявленный интерес!! Сей час выложу копии файлов.Новая папка.rar zero@dbzmail.com_IQ83

[Fireleo]

Цитата: Сообщение от ArcherV Добрый день! Спасибо Вам за утилиту. Подхватил модификацию такого же вируса, только файлам присваивает дополнительное расширение .banan@blader.com_xxx, где xxx - цифры-буквы. Прошу сделать модификацию Вашего декодера для этого варианта. Примеры зашифрованных файлов прилагаю.

Похоже, что зашифрованных только первые 48 байт, пришлите еще варианты зашифрованных файлов формата doc. И если есть пара зашифрованный/оригинальный файл, то же пришлите, не зависимо от формата файла.

[ArcherV]

Спасибо большое за помощь!

Варианты файлов прилагаю.

[Shakiri]

Такой же вид вируса как и у ArcherV - banan@blader.com )) Сколтко ищу дешифратора не неашел))

[CalgarMA]

Здравствуйте! Нужна Ваша помощь! Вид: zero@dbzmail.com_IQ71 (кликабельно) Заранее спасибо!

P.S.: после расшифровки файлов, нужны ли еще какие-либо меря для удаления вируса? Если да, то как от него избавиться полностью??

[Panama]

Здрасте! Словил такой же вирус... зашифровал все файлы на компе. расширение zero@dbzmail.com_IQ84
Помогите!!!! Пожалуйста! (((( Много фоток потерял(((

[денис викторович]

Привет ! Друзья проблема все та же помогите мне расшифровать файлы zero@dbzmail com_IQ85

[mrFiX]

Цитата: Сообщение от Fireleo Похоже, что зашифрованных только первые 48 байт, пришлите еще варианты зашифрованных файлов формата doc. И если есть пара зашифрованный/оригинальный файл, то же пришлите, не зависимо от формата файла.

Проверяй лучше на шифрованных архивах - там хоть проверить по внутриахивной проверке можно. А на doc-файлах не заметишь если опять где-то проблема расшифровки будет.

[mrFiX]

кстати, появилось время я поискал методы как мог бы ко мне вирус попасть.
До этого у меня 2 дня не было интернета из-за проблем у провайдера.
В файрволе закрыл для svchost входящий запрос на RDP порт (точнее не закрыл а поставил в режим запроса действия).
И вот через не продолжительное время работы компьютера при появлении интернета стали выскакивать запросы на разрешение входящего соединения по rdp протоколу.
Ну а так как не жду никого кто бы мог ко мне таким образом подключиться - то я их разумеется не разрешал.
По одному из ip попробовал подключиться так же удаленно - увидел окно логина на китайский win2003 сервер.
Так что скорей всего предположение что заражение происходит через зараженные удаленные сервера с использованием уязвимости в RDP
По одному адресу я

[Fireleo]

Цитата: Сообщение от mrFiX Проверяй лучше на шифрованных архивах - там хоть проверить по внутриахивной проверке можно. А на doc-файлах не заметишь если опять где-то проблема расшифровки будет.

Сообразил уже, но проверять пока нечего. Там файлы частично даже не зашифрованы, а затерты значением #13. В конце добавляется 1046 байт из которых 1000 - это, по всей видимости, 5 блоков по 100 байт записанных в виде ASCII-представлении (два байта обозначают один). И еще 46 в виде пяти групп по 8 байт, которые по все видимости содержат ключ как восстановить инфу. Но пока мене из них понятны лишь начало новой группы и указание на смешение с которого начинается очередной закодированный участок.

По этому, я еще не могу сообразить как получить исходные данные.

[ArcherV]

Fireleo, если поможет найти ключ, прикладываю варианты файлов в архивах.

[денис викторович]

zero@dbzmail com_IQ85
У меня видимо совсем безнадежный случай.....
ребята посмотрите пожалуйста мои файлы мож у кого получится????

[mrFiX]

Еще одно сообщение по *.barbitariat и можно будет по тому типу закрывать вопрос:
Если пользоваться утилитой te94decrypt.exe от drWeb. то:
Запускать её в нашем случае нужно с параметром комстроки -k 369 , т.е. так:
te94decrypt.exe -k 369

Файл te94decrypt.exe найденный мной поиском в гугле на анализе файла выдавал всего 87 вариантов.
А текущий более свежий выдал на 369 варианте - что нашел верный алгоритм.
Так что если искать файлы в сети - то надо искать наиболее ссвежие

[mrFiX]

Цитата: Сообщение от денис викторович zero@dbzmail com_IQ85 У меня видимо совсем безнадежный случай..... ребята посмотрите пожалуйста мои файлы мож у кого получится????

А сам файл вируса поймать не получилось ?