Опасный вирус в локалке шифрует файлы

[AndersonGH]

У меня .banan@blader.com_IQ41
Вирус как-то странно прошелся по файлам, какие-то зашифровал и к имени файла добавил свою приписку .banan@blader.com_IQ41, а какие-то файлы просто переименовал, убираешь из имени эту приписку и файл нормально открывается..
В зашифрованных файлах похоже первые 50 символов (байт) изменены, возможно что в середене файла тоже, не могу точно сказать.
Длина файла не меняется.
Первый байт ( символ ) в зашифрованных вроде бы у всех один и тот же - 13 (HEX)

[Panama]

Цитата: Сообщение от Fireleo А файлы ваши , вы предлагаете расшифровывать удаленно по фотографии? Так ведь даже её нет. Выложите несколько зашифрованных файлов, разных форматов и размеров. В идеале - пары зашифрованный файл и оригинальный.

Ребят выручите пожалуйста... не охота платить гадам.. я приложил файлы выше в посте...
Может получется дешифровать мои файлы?

[Fireleo]

Цитата: Сообщение от AndersonGH У меня .banan@blader.com_IQ41 Вирус как-то странно прошелся по файлам, какие-то зашифровал и к имени файла добавил свою приписку .banan@blader.com_IQ41, а какие-то файлы просто переименовал, убираешь из имени эту приписку и файл нормально открывается.. В зашифрованных файлах похоже первые 50 символов (байт) изменены, возможно что в середене файла тоже, не могу точно сказать. Длина файла не меняется. Первый байт ( символ ) в зашифрованных вроде бы у всех один и тот же - 13 (HEX)

Еще на смещении 1024, 2048, 3072 и 4096 байт по 15 байт заменены на 13 (HEX). Если у вас не изменился размер файла, то я даже не предполагаю как эти данные восстановить.

[mrFiX]

Вот информация от drWeb по этому трояну:

Цитата: Признаки заражения: Файлы зашифрованы, дополнительное расширение *.zero@dbzmail.com_xxx, где xxx - цифры-бувы. Если расширение отличается - вам в другую тему. Информация по трояну: Отсутствует на данный момент. Криптография: Точно неизвестно, но вероятно RSA. Расшифровка: В связи с отсутствием трояна ничего определенного сказать нельзя.

Если там действительно RSA то без тела вируса вряд ли что можно сделать.
Ищите у себя в карантине антивируса или во временных каталогах или еще где сам файл который гадит.

[AndersonGH]

Цитата: Сообщение от Fireleo Еще на смещении 1024, 2048, 3072 и 4096 байт по 15 байт заменены на 13 (HEX). Если у вас не изменился размер файла, то я даже не предполагаю как эти данные восстановить.

В моем варианте я вижу по 15 байт в смещении 400 800 с00 1000
В конце файла действительно есть добавка в виде символов, возможно это строка код по которой была произведена кодировка...

[mrFiX]

Цитата: Сообщение от AndersonGH В моем варианте я вижу по 15 байт в смещении 400 800 с00 1000 В конце файла действительно есть добавка в виде символов, возможно это строка код по которой была произведена кодировка...

Может у Вас другие циферки в расширении и соответвенно алгоритм разный.
Сам файл-вируса отловить удалось ?

[mrFiX]

у drWeb нашли разновидности и определили уже зловреда.

Цитата: Encoder.278 *.mambaee@aol.com_xxx, *.zero@dbzmail.com_xxx

А файла te278decrypt пока не появилось в открытом доступе

[Fireleo]

Цитата: Сообщение от mrFiX Может у Вас другие циферки в расширении и соответвенно алгоритм разный. Сам файл-вируса отловить удалось ?

Да нет, просто я в десятеричной системе писал. Там еще начиная с середины файла (если брать размер зашифрованного файла), есть последовательность, когда зашифрованные байты идут сначала через один, затем через два, три и т.д. до 16.

[AndersonGH]

Цитата: Сообщение от Fireleo Да нет, просто я в десятеричной системе писал. Там еще начиная с середины файла (если брать размер зашифрованного файла), есть последовательность, когда зашифрованные байты идут сначала через один, затем через два, три и т.д. до 16.

Мой антивирус в карантин поместил файл 312.exe
Где-то вычитал что это якобы только загрузчик, который сидит пару дней в компе и загружает шифровальщик, а после отработки удаляется вместе с шифровальщиком...
Вообщем обратившись за помощью на сайт http://virusinfo.info по результатам сканирования мне прислали скрипт, который должен был убрать в карантин DLL -ку , но почему-то в папке карантина программы AVZ после отработки скрипта и перезагрузки я не обнаружил эту DLL-ку, возможно что её уже не было в коме, а в реестре что-то болталось от неё... возможно это и был шифровальщик... теперь у меня только 312.exe в наличии, если нужен могу скинуть..

[Fireleo]

Скиньте лучше на DrWeb или в лабораторию Касперского. Я не оцениваю свои силы и ресурсы достаточными, чтобы расшифровать RSA, даже зная открытый ключ.

[alla_sk]

То же самое, расширение zero@dbzmail.com_IQ80.
Название трояна: Trojan.Win32.Qhost.afre, могу выложить тело вируса (вроде убитого) в архиве, второй архив - пара исходный/зашифрованный файл, пароль к архивам "вирус"

[Нейк]

Fireleo, а ваш декодер для расшифрования фотографий ZUBAGUGU@AOL.COM_A3 будет?

[Fireleo]

Цитата: Сообщение от Нейк Fireleo, а ваш декодер для расшифрования фотографий ZUBAGUGU@AOL.COM_A3 будет?

Вряд ли, уже есть готовый от DrWeb.

[starlab]

огромное спасибо Fireleo за утилиту, все файлы с расширением barbitariat успешно расшифровались. респект и уважуха !!!!!!

[shamarin]

Друзья! сталкивался ли кто-то с модификацией *.yaps?
Приложил 2 пары: больной и оригинал
http://files.mail.ru/8A0A0029D4FB48979ABEAA92059204E8