Что нового

WinEraserr уже здесь.Эпидемия грядет?, новый вирус...

Uragan

.
22/6/06
938
270
Горловка
Вот мои знакомы поймали такое чудо...

8297073_5a448b75.jpg


Абсолютно все пользовательские файлы на компе заблокированы.
Расширение абсолютно всех файлов по всему компьютеру на локальных дисках, будь то документ Word ".doc" или видео ".avi" сменилось на ".lock"

8297081_dc9f72d7.jpg


8297085_9272998e.jpg


Антивирусы Касперский, Нод, ДрВеб безмолвствуют. Они понятия не имеют что "видимо что то случилось". Все поочередно ставились и на всех осуществлялся прогон компа.

Уже три часа сижу колупаю. Смены разрешений и расширений, откат системы, чистка реестра, восстановление файлов разнообразнейшими утилитами, прогонки софтом загрузочных дисков с recovery софтом включая decryptor каспера не помогает. Документы "как была кака есть".


Денег запросили создатели вируса аж 800 грн... но самое главное, полазив по нету, пришёл к выводу что при переустановке винды файлы не приобретают прежний вид...
 
а если взять файл *.lock, закинуть на чистую машину и сменить расширение, файл откроется нормально? в тотал коммандер есть полезная функция группового переименования файлов. видимо этот с крипт работает по тому же принципу. файлы уже переименованы и обратно можно переименовать только тем же тотал коммандером, обрезав последнюю часть файла по маске.

ну а сообщение о WinEraserr это обычный баннер, как и про смс за просмотр детского... и чего-то там еще. имхо
 
16/8/06
0
910
Rostov-on-Don
а если взять файл *.lock, закинуть на чистую машину и сменить расширение, файл откроется нормально? в тотал коммандер есть полезная функция группового переименования файлов. видимо этот с крипт работает по тому же принципу. файлы уже переименованы и обратно можно переименовать только тем же тотал коммандером, обрезав последнюю часть файла по маске.

ну а сообщение о WinEraserr это обычный баннер, как и про смс за просмотр детского... и чего-то там еще. имхо
Не всё так просто, этот вирь не просто переименовывает файлы, он их криптует, правда алгоритм шифрования вряд ли серьёзный, ко всему прочему эта дрянь после шифрования файлов сама себя удаляет, оставляя лишь баннер. Ничего, декриптор на эту гадость наверняка скоро появится, но тем не менее кому то этот зловред прибавит головной боли.
 
Последнее редактирование:
13/2/10
9 703
4 057
Не всё так просто, этот вирь не просто переименовывает файлы, он их криптует, правда алгоритм шифрования вряд ли серьёзный, ко всему прочему эта дрянь после шифрования файлов сама себя удаляет, оставляя лишь баннер. Ничего, дескриптор на эту гадость наверняка скоро появится, но тем не менее кому то этот зловред прибавит головной боли.

Администраторы, супер модераторы и модераторы надеемся на вашу ум и силу, чтоб на наш форум эта зараза не попала!!!
 
Последнее редактирование:

bakut

.
29/10/08
597
10
45
Kyrgystan Naryn city
Стало интересно и попробовал этот вирус. Каспер засек его. удалил полностью.
После отключения Каспера вирус закриптовал несколько файлов.
Файлы *.mht не тронуты остались. Походу токо с офисными файлами работает
ярлыки, приложения, dll и т.п. не тронул. все док тхт пдф дежавю локнулись.
на разных файлах криптовал по разному. начинал с самого начала и где то до 25-30 %
файла криптовал. вин хекс показал что дальше файлы одинаковые. в конце добавлял 4 байта в зависимости
от типа документа. По видимому он читает каждые 16 байт и криптует и переписывает.
токо если пароль длинный кто и когда его декриптует. действительно возможно что это лишь уловка
антивирусо-продавцов чтоб увеличить продажи. заархивированный вирус весит всего 28КБ.
как он диски-жертвы выбирает я не узнал. одно точно знаю: антивирус пока спасает.
 

Кто читал эту тему (всего: 0) Детально

Верх Низ