Опасный вирус в локалке шифрует файлы

[Fireleo]

Вот он с исходниками на delphi.
Там использовались два компонента из сторонней библиотеки, она так же приложена, но при необходимости можно их заменить на обычные edit'ы.


Бездумно не пользовать, желательно сначала проверить на одиночном файле. Для предотвращения порчи файлов исходный файл не удаляется (придется позаботиться о наличии свободного места на диске). Находит и расшифровывает файлы только с расширением *.STOP.

А так все просто - всего пара кнопок.

Файл декодера на 2 сообщения ниже

[administrator]

да, и Ваша реально работает.

[administrator]

Вот дешифратор от доктора, 1С базы берет на ура.

Пояснение:

Признаки трояна: имеется файл C:\decrypting.txt содержащий email specialmist@gmail.com, расширение файлов не менялось. Если хоть один признак не совпадает - вам в другую тему.

По состоянию на 11:50 (MSK) 19.04.2013 состояние следующее:
Распространение началось в районе 15-16 часов по Москве 17.04.2013. Расшифровка возможна в автоматическом режиме!

Рекомендации:
Скачать на пораженную машину утилиту во вложении и запустить. Утилита создает КОПИИ файлов, соответственно у вас должно хватать места на дисках для них.

Если утилита не расшифровала файлы или расшифровала неправильно:
Пишите в свою заявку об этом. Если заявки нет - сообщите о проблеме в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ в категорию Запрос на лечение.


Что НЕ нужно делать:
- переустанавливать операционную систему;
- удалять или модифицировать C:\decrypting.txt
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web любые дешифраторы, кроме te215decrypt.exe
- В случае неудачной расшифровки при помощи te215decrypt.exe пытаться решить проблему без консультации с вирусным аналитиком Dr. Web

[Fireleo]

Блин, на форуме dr.web говорят, что нужно знать еще и длину зашифрованного участка, а моя программка декодирует до конца файлы .

Есть у кого-нибудь зашифрованный текстовый файл в несколько Мб? Log какой-нибудь. Или пара расшифрованный/зашифрованный файл, не обязательно текстовый? Не больше 4 мб.

Все, теперь всё готово. Вот вариант работающий для фалов более 2 мб.

[dryneg]

Цитата: Сообщение от Fireleo Блин, на форуме dr.web говорят, что нужно знать еще и длину зашифрованного участка, а моя программка декодирует до конца файлы . Есть у кого-нибудь зашифрованный текстовый файл в несколько Мб? Log какой-нибудь. Или пара расшифрованный/зашифрованный файл, не обязательно текстовый? Не больше 4 мб. Все, теперь всё готово. Вот вариант работающий для фалов более 2 мб.

СУПЕР !!!, спасибо. реально помог, файлы бд sql расшифровались.
Ты крут друг
Готов скинуться на пиво-водка, чай кофе, коньяк для хорошего человека

[administrator]

Сегодня вышел новый вирус, рассылают всем по почте с адреса: makovskij.svyatoslav@list.ru.

Текст письма следующий:

От кого: "Зaм Дирeкторa Юркoллегии В.A.Алексеев" <makovskij.svyatoslav@list.ru>
Кому:
Дата: Четверг, 1 августа 2013, 11:40 +04:00
Тема: ПOСТAНОВЛЕНИЕ СУДA

Код HTML:

Сoгласнo пoстанoвлению суда, мы начинаем прoцeдуруjвзыскaния'дoлга 
в  cумме'195 417,33 рублeй. Дoлг' будeт взыскaн'путeм прoвeдения прeтензионной рaботы, зaключения мирoвoгоасoглашения, пoлучeния аИспoлнительногоалистa нa принудительнoеавзыскaние'долгa, списaния'чaстиасредств аc рaсчётных'счетов дoлжникa и пoлучeния остaткa долгаапутeм перeговоров.аБолeеаподрoбноасм. в'прикрeплённых'дoкумeнтах. ЗaмаДирeкторaаЮркoллeгииаВ.A.Алeксeев

Файл во вложении Документы.rar

Не вздумайте открывать!!!!!!!!!!

При открытии шифруются все текстовые файлы на компьютере и меняется картинка на рабочем столе.


Салют буржуа!Наши быстроходные катера атаковали ваш файловоз.Ваш компьютер взят на абордаж командой нигерийских пиратов.
zubagugu@aol.com




Кто как лечился- пишите здесь.

Примеры зашифрованных файлов - во вложении

[Fireleo]

Нашел ключ и алгоритм, скоро будет готовый дешифровщик, если есть пара - зашифрованный/исходный файл или еще примеры защифрованных файлов большего размера - выкладывайте.

[Fireleo]

Всё, готово. Все тоже самое но модифицированное для именно этого варианта. Ищет файлы только с расширением *.ZUBAGUGU@AOL.COM_S1. Зашифрованные файлы не затирает. Работает для всех размеров файлов (длина зашифрованного куска всего 16320 байт). Пользуйтесь.

+ расшифрованные файлы из запроса.


P.S. можно мне получить тело вируса, на анализ?

[Нейк]

Все изображение тоже за блокировались.

[Fireleo]

Цитата: Сообщение от Нейк Все изображение тоже за блокировались.

*.jpg - сжатый формат, тут на глаз определить гораздо сложнее, найдите файлы в закодированном и не закодированном варианте.

[DemonTM]

Цитата: Сообщение от Fireleo Всё, готово. Все тоже самое но модифицированное для именно этого варианта. Ищет файлы только с расширением *.ZUBAGUGU@AOL.COM_S1. Зашифрованные файлы не затирает. Работает для всех размеров файлов (длина зашифрованного куска всего 16320 байт). Пользуйтесь. + расшифрованные файлы из запроса. P.S. можно мне получить тело вируса, на анализ?

Привет!
Всё хорошо, но раскодирует только по одному файлу
А их куууууча

[Fireleo]

Цитата: Сообщение от DemonTM Привет! Всё хорошо, но раскодирует только по одному файлу А их куууууча

Был такой косяк.
Вот исправленныйю

[DemonTM]

Цитата: Сообщение от Fireleo Был такой косяк. Вот исправленныйю

Да, теперь всё супер
пару файлов Excel только не раскодировал и несколько фоток.
т.е. как бы раскодировал, но файл оказался повреждённым.
Но учитывая общее количество файлов - это капля в море.
Ещё раз спасибо

p.s. учил же своих дам не вестись на всякие 'левые письма', а воз и ныне там

[Fireleo]

Декодер для фалов, чьё расширение оканчивается на s3. - "AOL.COM_S3"

Для одтночных файлов можно использовать и предыдущий декодер, нужно только поменять ключ на: 4A554A4854493F878056404286898154835180865641874581 4C4D5580898746544F8581504A514F545081518082504F5486 4D40415650574E4E40475580495546844644414253534A5049 4E584E50484F4156508153488953423F3F4F51554D

[Fireleo]

В предыдущих версиях декодера была найдена ошибка - ошибка исправлена, файлы обновлены. Товарищ "DemonTM" и другие кто уже воспользовался пожалуйста перераскодируйте файлы новой версией декодера, во избежание