 |
Ярпортал: форум Ярославля  |
 Совместные покупки Объявления  Поиск  Все вопросы: yaroslavl@bk.ru
|
| Здравствуйте, Гость ( Вход·Регистрация ) | Сделать Yarportal.Ru стартовой страницей |
|
| Страницы: (17) « Первая ... 5 6 [7] 8 9 ... Последняя » ( Перейти к первому непрочитанному сообщению ) |    |
| EWiZaRD |
Дата 3.06.2014 - 08:14
|
|||
Да не успел просто  Вирус создает cptbase.cmd, в котором перечислены все файлы, что будут зашифрованы и начинает его выполнять.
На том компе, что я смотрел, размер cptbase.cmd - 137 мегов Вирус успел зашифровать все файлы на C: (>33000 файлов) и частично на USB диске, к счастью, не успев добраться до сетевого диска. Это сообщение отредактировал EWiZaRD - 3.06.2014 - 09:32 |
||||
 
|
| blessk |
Дата 3.06.2014 - 09:59
|
|
|
|
|
|
| mouseTPAKTOPuCT |
Дата 3.06.2014 - 10:49
|
|||
я тебе там всё ответил видимо слишком уж еге на тебя повлияло раз не понял |
||||
|
|
| fawkes999 |
Дата 3.06.2014 - 11:03
|
|||||
Да что-то я помню, что по ценообразованию ответили как-раз тебе, выставив полным идиотом  А я все жду ящик подобных болванок за 100руб  Это сообщение отредактировал fawkes999 - 3.06.2014 - 11:05 |
||||||
|
|
| fawkes999 |
Дата 3.06.2014 - 11:13
|
|
У меня как-то подобный индивид в ВК хотел два ТТ настоящих купить, собирался по почте заказать А уж вопросов, боевая или нет десятки...  Это сообщение отредактировал fawkes999 - 3.06.2014 - 11:14 |
||
|
|
| goom |
Дата 3.06.2014 - 13:46
|
|||||
Как говорят, мгновенно изменилось расширение файла, на съемных носителях и раб.столе. Допускаю, что процесс шифрования всё еще запущен. Посмотрим. |
||||||
|
|
| EWiZaRD |
Дата 3.06.2014 - 14:22
|
|
|
Если есть сомнения, лучше перегрузиться. А так, смотреть в %TEMP% наличие svchost.exe (переименованый gpg.exe) и cpD.bin. cpD.bin, похоже, по смыслу, "все уже сделано, запускаться не надо".
jump2 - выход из скрипта cde.cmd |
||
|
|
| ryab_i4 |
Дата 3.06.2014 - 15:47
|
|
Здравствуйте! У нас диск разбит на 2 раздела, первый раздел мы форматнули (переустановили винду), а на разделе 2 остались зашифрованые нужные файлы, как уже потом выяснилось. Теперь пытаемся найти с помощью R-Studio файлик genkey.cry на первом (форматнутом разделе) и все без успешно И я так понял что без генерации в gnupg по вашему рецепту ничего не получится, не достаточно будет просто найденого genkey.cry? Что посоветуете, ждать дешифратор или еще какой-нибудь выход есть? P.S. платить вымогателям не предлагать, ибо нефиг их кормить. |
||
|
|
| EWiZaRD |
Дата 3.06.2014 - 16:00
|
|
Если genkey.cry такой же, какой был у нас, то его искать не надо. Надо поставить какой-нибудь disk editor (не на тот раздел, на котором будем искать!), я поставил первый попавшийся, HxD Hex Editor, и запустить поиск по диску. Искать строчку unstyx@mail2tor.com, в блоке начинающемся на 0x95 0x01.
Хотя, если переставили Windows (создание большого кол-ва файлов), то шансы невелики. Это сообщение отредактировал EWiZaRD - 3.06.2014 - 16:00 |
|
|
|
| ryab_i4 |
Дата 3.06.2014 - 17:09
|
|
Я так понял искать нужно по 2 разделу в самих зашифрованых файлах или по диску 1 раздел, который был отформатирован? И как искать в блоках не понял, в HEX редакторе смещения другого вида (в шестнадцатеричном формате) со строкой все понятно. Текстовая строка? Потом нужен gnupg для генерации? |
||
|
|
| EWiZaRD |
Дата 3.06.2014 - 18:01
|
|
Искать по диску.
Текстовая. Если найдете, то потом gnupg нужен для расшифровки. Это сообщение отредактировал EWiZaRD - 3.06.2014 - 18:04 |
|
|
|
| ryab_i4 |
Дата 3.06.2014 - 22:57
|
|
Никак не могу разобраться как в блоках искать и где эти блоки, а диск открыл. Вижу только смещения в шестнадцатиричном, десятичном или восьмеричном виде (переключается). Не понятно как найти эти адреса 0x95 0x01? Я их не вижу нигде. Опыта работы в HEX редакторах не было Воспользовался тоже HxD Hex Editor'ом. Подскажите пожалуйста! |
||
|
|
| Beirut |
Дата 4.06.2014 - 03:26
|
|
аж от трех человек пришло письмо.
прочитав первое, пришлось звонить, узнавать. хорошо, что архивированный файл подозрительный. каракулями и мало весит. натурально пишут. "из 5 налоговой", "срочно" он всего лишь файлы блокирует? думал, раз ЦА - офисный люд. пароли от банковских систем ворует |
|
|
|
| EWiZaRD |
Дата 4.06.2014 - 07:05
|
|
0x95 0x01 это не смещение, а сигнатура начала файла secring.gpg
Искать на диске unstyx@mail2tor.com, строку, а потом смотреть есть ли эти байты чуть выше. Вот файл, что я вытащил с диска: Пр просмотре диска этот блок был окружен 0x00 Это сообщение отредактировал EWiZaRD - 4.06.2014 - 07:06 |
|
|
|
| shoosha |
Дата 4.06.2014 - 09:29
|
|
Заплатили, прислали ключ, прога вернула все обратно, все расшифровалось, комп перезагрузился, файлы открылись (почти все, но не все, некоторые побились). Осталось вычистить следы пребывания этой гадости, выискать файлы и удалить... прогнать антивирусниками, хотя не поможет.
|
|
|
|
« | Авто-Ярославль | »
Страницы:
(17) « Первая ... 5 6 [7] 8 9 ... Последняя » |
|
[ Время генерации скрипта: 0.0119 ] [ Использовано запросов: 15 ] [ GZIP включён ]
Правила Ярпортала (включая политику обработки персональных данных)
Powered by Invision Power Board(U) v1.3 Final © 2003 IPS, Inc.