wirus od Koeserg@gmail.com

[Gość: Dudi]

Złapałem wirusa który koduje pliki txt, jpg, pdf i inne.
W katalogach w których "psuje" tworzy pliki tekstowe HOW TO DECRYPT FILES.txt, a w nim

Attention! All your files are encrypted!
You are using unlicensed programms!
To restore your files and access them,
send code Ukash or Paysafecard nominal value of EUR 50 to the e-mail Koeserg@gmail.com. During the day you receive the answer with the code.

You have 5 attempts to enter the code. If you exceed this
of all data irretrievably spoiled. Be
careful when you enter the code!

Zna ktoś sposób a tego dziada? jak odblokować pliki?
Szukałem po dysku kilkoma programami do odzyskiwaia daych plików które zostały poblokowane ale bez sukcesu. Czy komuś się to udało? Czy wirus koduje oryginalny plik pod nową nazwą, a póżniej go usuwa? Jeśli tak ślad po usuniętym oryginale gdzieś powien pozostać. Czy komuś się udało odzyskać zblokowae pliki?

[zdrowe_podejscie]

Niestety - mnie także dotknęła ok. 16-tej czasu CET 10 kwietnia ta dolegliwość. Skanowałem McAfee Stingerem, MalwareByte Free Edition - i nic :-( Zero wykrycia czegokolwiek...

Jaki masz system ? Ja na serwerze Windows 2008 R2 Server, a końcówkach Windows XP Pro SP3.

[Gość: Kolobos]

Pliki sa faktycznie szyfrowane czy tylko maja zmieniona nazwe?

Zrobcie skan przy pomocy cureit. Dajcie oba logi z OTL na wklej.org i podajcie link.

Jak mozecie to dajcie tez jeden z takich zaszyfrowanych plikow.

Sprawdzcie tez:
ftp://ftp.drweb.com/pub/drweb/tools/te94decrypt.exe program trzeba uruchomic z parametrem: -k 85

[wwwandal1]

Działa.
Po przeskanowaniu odszyfrował plik Example.EnCiPhErEd samoczynnie znajdując do w OS.

Finalnie narzędzie tworzy nowy plik z wartością (0)

[Gość: r]

Narzędzie faktycznie odtwarza pliki, ale niestety nie da się ich otworzyc - sa uszkodzone!

[wwwandal1]

Nic nie jest uszkodzone...tylko rozszerzenia są po rozkodowaniu "wzbogacone" o (0) lub inne wartości cyfrowe.

Co Wy tam robicie w tym csioz.gov.pl??? poczytajcie w wolnych chwilach:

windows.microsoft.com/pl-PL/windows-vista/Show-or-hide-file-name-extensions

[Gość: r]

Nic nie jest wzbogacone o 0. Rozszerzenia sa prawidlowe i pliki chca sie otwierac w aplikacjach prawodlowych, tylko ze sie nie otwieraja...

[wwwandal1]

Wystaw Kolego r jakiś "nieotwieralny" plik na zewnątrz ..pobierzemy, zobaczymy:)

[Gość: r]

zaszyfrowany.patrz.pl
odszyfrowany.patrz.pl

[wwwandal1]

Kolego r. Cicuciubabka utrudnia naszą konwersację:(

Plik który oznaczyłaś jako zaszyfrowany ma końcówkę 401 - odszyfrowany 400!...już na tym etapie wprowadziłeś chaos.

Decryptor nie mienia nazw........

Dodatkowo po odszyfrowaniu "oryginału" rózni się on od Twojego "odszyfrowanego"....patrz poniżej:

roznicexxxxxx.patrz.pl

Zrób małą weryfikację...i czy aby jesteś ..sure, że ten plik powinien mieć rozszerzenie .ppt?

[Gość: r]

Kolego.

To portal patrz.pl zmienia automatycznie nazwy.
Tak, jestem pewien co do rozszerzenia.

Na forum google, do ktorego odwoluje sie uzytkownik z posta ponizej sa osoby, ktore maja ten sam problem co ja...

[wwwandal1]

Ok..to reasumując jest kilka odmian tego malware'u...albo przynajmniej sposobu szyfrowania.
Naliczyłem przynajmniej 3.

Dla tych trzech różnych przypadków niestety wymagany jest inny parametr i inny te94decrypt.

Ostatni został wyrzucony po 13-stej na ftp://ftp.drweb.com/pub/drweb/tools/ i uruchamiać go trza z parametrem -k 87

@r - nie musi Tobie to się powieść....ale sprawdź.

Generalnie odpowiedź od Dr.Web jest very szybka..więc finalnie proponuję wrzucać pliki na:

vms.drweb.com/sendvirus/?lng=en

.. a dostaniecie stosowny пaрaметр ...

[Gość: nika]

Czy może mi ktoś pomóc? Mam właśnie taką samą sytuację:/ odszyfrowałam pliki tym te94decrypt.exe -k 85 no i niby pokazują się te odszyfrowane obok zaszyfrowanych, mają format .jpg ale jak próbuję je włączyć to pokazuje, że nie może otworzyć, bo albo błąd, albo uszkodzony, albo za duży. Nie znam się na tym. Nie wiem co z tym zrobić. Bardzo proszę o pomoc.

Nie wiem czy to jest dobrze zrobione. Przesyłam link to tego OTL: wklej.to/H3GAt

Z góry dziękuję za pomoc!

[zdrowe_podejscie]

Krótko i na temat:

Cały problem został rozpracowany na grupie na googlach. Podane jakim softem wyskanować, jakim odszyfrować pliki. Skanowania nie sprawdziłem, ale 919 plików dosłownie w kilka minut odszyfrowałem automatem, więc ten sposób z softem DrWeb działa !!!

groups.google.com/a/googleproductforums.com/forum/#!topic/gmail/qo0xd0MM1Z8

[Gość: BulGS]

Bez paniki, tu macie lekarstwo www.cert.pl/news/5483/langswitch_lang/pl
też złapałem tego syfa.

[Gość: Dudi]

Udało mi się odszyfrować pliki używając te94decrypt.exe z parametrem -k 85
(D:\>te94decrypt.exe -k 85)
Po naciśnięciu "continue" program przeleciał mi wszystkie dyski i odszyfrował pliki z rozszerzeniem .EnCiPhErEd.
Program pozostawia zaszyfrowane pliki, więc dobrze jest przygotować trochę wolnego miejsca na dysku dla odszyfrowanych plików przed startem dekodowania.

Tego wira zajdziecie w rejestrach HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run pod nazwą Alcmeter.

U mnie wirus był katalogu Documet and Settings\user\Local Settings\Temp pod nazwą KR9SpeDJd0PU1OJ.exe

I jeszcze dziada znalazłem w WINDOWS\Prefetch KR9SPEDJD0PU10J.EXE -0AC9E116.pf

zobaczcie tu:
wirus.od.koeserggmail.com.patrz.pl

[Gość: Ded]

JAk to odszyfrowałeś ? Mógłbyś opisać od początku, jakiś link. Help

[Gość: Kolobos]

Masz podane! Nawet pare razy.. Wysil sie i przeczytaj!

[Gość: Adam_AN]

Jaki antywirus wykrył wirusa ?

[zdrowe_podejscie]

Trend Micro od aktualizacji ze środy już wykrywa tego wirka. Mi wtorkowy nie wykrywał, nie wykrywała go także wtorkowa Panda, Kasperski, Malwerbyte's, Spybot i kilka innych narzędzi.

TU wypisujemy programy, które wykrywają tego wirka

[zdrowe_podejscie]

- Trend Micro - od aktualizacji 11.04.2012 dopiero.

Ktoś zna inne narzędzia, najlepiej takie odpalane z własnej płytki, czyli bez uczestnictwa systemu zainfekowane kompika, którymi można wykryć i zniszczyć tego wirka ?
Tak przy okazji - softy McAfee Stinger i Malwarebytes - nie działają... :-(

[Gość: Kolobos]

Skoro program jest od Dr.Web to zapewne cureit wykrywa ta "infekcje".

Wielkie repozytorum informacji o tym trojanie !!!

[zdrowe_podejscie]

groups.google.com/a/googleproductforums.com/forum/#!topic/gmail/qo0xd0MM1Z8
Tu macie ogólnoświatowe forum, gdzie ludzie wymieniają się doświadczeniami. Pokrótce: ponieważ są już kolejne mutacje tego trojana, stąd najlepiej jest wysłać próbki plików do DrWeb i podają algorytm, jakim można odkodować swoje pliki. Co ważne - NIE WOLNO kasować tych plików zaszyfrowanych, lepiej zrobić sobie ich backup, bo może być tak, że część plików mamy zaszyfrowanych jednym algorytmem, a część - innym.

[Gość: Adaman]

mnie pomógł: te94decrypt.exe -k 90
innym z kluczem: -k 85, -k 87, -k 88, -k 91

[Gość: pRpn]

Pomogl mi parametr C:\te94decrypt.exe -k 91 , jednak mam pytanko jak usunąć pozostałe pliki zainfekowane jest ich mnóstwo czy trzeba to robić ręcznie ?

[zdrowe_podejscie]

Ręcznie. Oczywiście - ręczną robotę możesz wspomóc skryptem jakimś ;-) Aczkolwiek zanim coś wykasujesz - ZDECYDOWANIE !!! zrób wpierw backup tych plików, bo często jest tak, że wiele plików jest zaszyfrowanych różnymi parametrami, a jak u mnie było ponad 900 plików zainfekowanych, to logicznym jest, ze nie będę siedział 3 dni i sprawdzał każdy z tych 900 plików, czy został dobrze odszyfrowany. Stąd jak się źle coś odszyfruje - BACKUP i innym parametrem potraktować taki zaszyfrowany plik trzeba :-]]]

[Gość: Adam_AN]

Start->Znajdź->Pliki jub foldery-> wpisać w poku wyszukiwania *.Enciphered
i wszystkie pliki się wylistują, później ctrl+A, del i posprzątane

[Gość: pRpn]

U mnie co prawda rozszerzenie Bl9c98vcvv, ale dziex Adam za sposób ;)