Цифровой сейф.ехе
 

Утром раздался звонок, так и так все плохо.
По приезду на 2 компьютерах обнаружил следующее, вся инфа с рабочего стола и моих документов исчезла, зато появился экзешник "Цифровой сейф.ехе". При запуске оного выдается сообщение что вы ставили прогу, были уведомлены, теперь для доступа к данным нужен пароль, а чтоб его получить надо бы его купить за 900р.
Рядом с этим фалом в скрытых имеется файлик Thumbs.ms. Если в него зайти то там есть папочка "com1 и куча символов дальше", в ней как раз таки лежат все файлы пропавшие но в зашифрованом виде, с изменением имени и расширения (аля 54505F554E4C494D5F75725F30315F30345F31312E786C73.RN).
Дрянь новая как я понимаю, соответственно антивирами ничего не нашлось.
В инете нашел тока одну тему http://forum.drweb.com/index.php?sho...0&#entry544445, где уже встретились с данным вирусом и как то расшифровывали данные, чтоб получить пароль.
Можете помочь с расшифровкой? поскольку работа стала и очень сильно стала.
прикрепляю по несколько файлов зашифрованных. сам файл сейфа хоть и ужимается с 44мб до 1,5мб, но не прикрепляется.

архив отправьте через форму или на quarantine<at>safezone.cc (at=@)с указанной ссылкой на тему и вашим ником(именем на форуме). в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме.
и

Отправьте через данную форму. В строке в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Попробуте эту утилиту . http://support.kaspersky.ru/faq/?qid=208638517


потом
Выложите логи в соответствии с этими инструкциями.

Заархивируйте этот файл с паролем virus и залейте на файлообменник . Ссылку выложите в следующем сообщении.

Dr.FRECH, в дополнение к совету в предыдущем сообщении

1. Принцип шифрования такой оказался:
а) каждый символ имени файла заменяется его кодом
б) первые 8192 байт в каждом файле шифрованы с помощью операции xor 36
2. Я написал собственный дешифровщик, который восстанавливает файлы. Причем файлы Word открываются вообще прекрасно, файлы Excel и архивы при открытии сигнализируют об ошибках, но, как мне кажется, их содержимое все-таки оригинальное

как буду за зараженными компами отправлю и выложу логи, утилита от касперского предположительно не поможет так как скрины выложеные там совсем никак не подходят.

Утилиты от Касперского для этих целей нет. Прежнее название заразы, которую подхватили, - Электронный сейф

В архиве расшифрованные файлы (с теми ограничениями, о которых я писал выше). Но саму программу ждем

Забыл написать, перестал грузится эксплорер под этим пользователем, под другими загружается.
Отправил файлы по обоим формам.
http://ifolder.ru/25678433 здесь лежит сейф.ехе.
логи с одного компьютера пока.
thyrex спасибо, но расшифровывать надо около 30гб тока на одном компе...

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Обновляйтесь немедленно:
SP3 + все критические обновления Windows (может потребоваться повторная активация)
IE9 + все обновления для него

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Повторите логи AVZ и RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Удалить то удалится это все, как мне файлы расшифровать то?

Это к thyrex - он программированием занимается - я Вам вот это подправлю:

Dr.FRECH, в дополнение выполните такой скрипт.

Отключите защитное ПО (Антивирус/Файерволл)!

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.

Сделайте новые логи!

alex_sev
выполнил скрипт, отослал карантин, в HijackThis не было указанных пунктов, Malwarebytes' Anti-Malware не грузится или не устанавливается не знаю, после запуска mbam-setup.exe висит досовское окно и все, логи после ваших рекомендаций.
zirreX сейчас выполню ваш скрипт.
Кстати при старте системы висит в процесах iexplore.exe хотя я его не стартую.

zirreX логи после вашего скрипта

Карантин после последнего скрипта отправьте по форме


• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.

• Internet Explorer обновить до восьмой версии.

Сделайте новые логи.

Попробуйте запустить MBAM и сделать лог полного сканирования.

Explorer стартует, обновил IE
сейчас сканирует MBAM но видимо это на долго, пока прикрепляю логи.

Dr.FRECH, во вложении мой самодельный дешифратор

Как работать с ним

1. Скопируйте все зашифрованные файлы в отдельную папку. Если зашифрованы файлы на разных дисках, лучше для каждого диска создать свою папку. Папки, созданные шифровальщиком, лучше оставить пока в том виде, в котором они есть
2. Запустите программу и после нажатия на кнопку выберите любой файл с расширением .RN в любой из созданных Вами папок
3. Программа получит список всех файлов (их количество будет указано в соответствующем окне) и в папке с зашифрованными файлами будет создана папка Decoded, куда будут записаны расшифрованные файлы
4. Повторить процедуру для всех созданных Вами папок с зашифрованными файлами

Результат сообщите

попробовал декодировать, в общем результат такой, часть инфы восстановлена, архивы и пдф не возвращаются в нормальное состояние (ну об этом и предупреждалось) и не возможно декодировать папку если в имени файла присутствует $, спасибо за помощь с дешифратором, хоть чтото да есть, ну а для остального надо ждать пока ответят во всяких вирлабах.

Присоедините к сообщению или на обменник пару таких нерасшифрованных файлов(особенно с символом $ ). Будем работать дальше над утилитой.

Кажется я понял, причем здесь символ $

Возможно я выложил не финальную версию дешифратора. Извините
Кроме того, оказалось, что шифровальщик записывает некий мусор в конце файлов

В аттаче новая версия. Однако проблема с xls и архивами пока не поддается решению

Не придется видимо расслабятся, сегодня благополучно был поймана этаже гадость, но с новым именем "Цифровой кейс.ехе"...

И где вы их ловите ?

Да если бы я знал...
но знаю одно вчера тестил нового провайдера, т.е. тупо пинг без открытия браузеров, комп был включен мною и с ним было все нормально, после всех созвонов с провайдером (не работал инет) перенастроил соединение на старое и забыл комп выключить. Утром сами понимаете что было с компом, так же было и в предыдущих случаях, компы не выключаются на ночь (для того чтобы был доступ к информации без ожидания когда придет утром человек и в субботу его может не быть), ну а утром замки, сейфы кейсы уже присутствуют... и это как я понимаю во всех случаях заражения (даже у других людей).

Что касается 11 файлов с первым символом ~ в имени - это временные файлы каких-то документов Word, которые иногда остаются в системе и не видны (они скрытые). Все остальные документы Word из папки ГрандТорг успешно распакованы. Ссылку отправил Вам в ПМ

Что касается новой заразы - изменен алгоритм шифрования и похоже применен BlowFish
Вполне возможно, что без знания ключа шифрования расшифровать не получится