Trojan.ransom.hm

Buna ziua


Am avut un virus pe calculator cred ca Trojan.Ransom.HM am folosit Bitdefender IS 2012 s-a eliminat virusul dar marea majoritate a fisierelor din calculator sunt criptate si au extensia .EnCiPhErEd. Am nevoie de un utilitar pentru decriptare

Comentarii

  • rootkit
    rootkit ✭✭✭

    Salut Doru :)


    Bine ai venit pe forum.


    Lucram la asta, revin in cateva ore cu un raspuns.


    Multumim.

  • Ok astept un raspuns, am mare nevoie de o solutie. Am incercat un utilitar te94decrypt dar fara nici un rezultat

  • rootkit
    rootkit ✭✭✭

    Salut :)


    Utilitarul o sa fie gata in cam 48 ore.


    Multumim.

  • Doru_Neo
    editat aprilie 2012

    Dr. Web s-a miscat mai repede :rolleyes:


    Raspunsul lui:


    Start it with commandline params -k 87


    Report to the Police."


    La mine a functionat pe cateva fisiere urmeaza sa aplic la toate datele.

  • rootkit
    rootkit ✭✭✭

    Salut Doru :)


    Multumim pentru feedback.


    Daca mai ai intrebari, te rog nu ezita.


    O zi placuta!

  • salutare, ati reusit sa faceti utilitarul pt fisierele criptate? multumes


    Salut Doru :)


    Multumim pentru feedback.


    Daca mai ai intrebari, te rog nu ezita.


    O zi placuta!

  • rootkit
    rootkit ✭✭✭

    Salut Sorin :)


    Bine ai venit pe forum.


    Revin cu un raspuns in maxim 3 ore, multumim pentru rabdare.


    O zi buna!

  • Salut Sorin :)


    Bine ai venit pe forum.


    Revin cu un raspuns in maxim 3 ore, multumim pentru rabdare.


    O zi buna!


    Salut,


    Eu i-am contactat pe cei de la drweb in legatura cu problema mentionata pe data de 09 Aprilie si le-am si trimis niste fisiere pentru a incerca sa le decodeze. Din pacate utilitarul lor nu functioneaza pe fisierele ce au fost sterse si recuperate ulterior (gen unerased) - fisierele se corup in timpul conversiei. Am incercat acelasi utilitar si pe un fisier ce il aveam copiat local inainte sa se apuce unii inteligenti sa stearga fisierele .enciphered si pe acesta a functionat cu succes. Intrebarea mea este daca utilitarul pe care vreti voi sa il scoateti se va baza pe cel al celor de la drweb (aceasi metoda de decriptare) sau mergeti pe alta idee pentru a incerca sa il folosesc si eu pe fisierele recuperate cu unerase-ul.


    Multumesc pentru raspuns!

  • Multumesc pentru raspuns, eu nu am sters nimica de pe calculator dar toate documentele, fotografiile si linkurile sunt criptate.


    eu am primit mesajul acesta:


    ttention! All your files are encrypted!


    You are using unlicensed programs!


    To restore your files and access them,


    send code Ukash or Paysafecard nominal value of EUR 50 to the e-mail Koeserg@gmail.com.


    During the day you receive the answer with the code.


    You have 5 attempts to enter the code. If you exceed this date all data is irretrievably spoiled. Be careful when you enter the code!

  • Divine_One
    editat aprilie 2012
    Multumesc pentru raspuns, eu nu am sters nimica de pe calculator dar toate documentele, fotografiile si linkurile sunt criptate.


    eu am primit mesajul acesta:


    ttention! All your files are encrypted!


    You are using unlicensed programs!


    To restore your files and access them,


    send code Ukash or Paysafecard nominal value of EUR 50 to the e-mail Koeserg@gmail.com.


    During the day you receive the answer with the code.


    You have 5 attempts to enter the code. If you exceed this date all data is irretrievably spoiled. Be careful when you enter the code!


    Daca nu ai sters nimik, copiaza tool-ul asta de aici:


    Deschizi cmd prompt din run mergi la locatia unde ai copiat fisierul downloadat si rulezi comanda urmatoare:


    O sa iti decodeze toate fisierele .enciphered...la mine nu merge ca au fost sterse si recuperate...

  • rootkit
    rootkit ✭✭✭
    editat aprilie 2012

    Salut Sorin :)


    Cum nu pot sa te ajut via PM, o sa iti creez un tichet in sistem cu adresa de email cu care te-ai inregistrat pe forum si iti trimit in maxim 30 minute utilitarul atasat cu instructiuni.


    Tichet: 201204171015321



    Multumim.

  • rootkit
    rootkit ✭✭✭

    Salut :)


    Am revenit, mailul ajunge in 5 minute, multumim pentru rabdare.


    O zi placuta!

  • Salut Sorin :)


    Cum nu pot sa te ajut via PM, o sa iti creez un tichet in sistem cu adresa de email cu care te-ai inregistrat pe forum si iti trimit in maxim 30 minute utilitarul atasat cu instructiuni.


    Tichet: 201204171015321



    Multumim.


    Salut,


    Sa inteleg ca tool-ul pe care il dezvoltati nu va fi disponibil pentru toata lumea? Am avut si eu o intrebare mai devreme, macar un "da" sau "nu" se poate?


    Merci!

  • rootkit
    rootkit ✭✭✭
    editat aprilie 2012

    Salut la toata lumea :)


    Am trimis lui Sorin utilitarul, l-ai primit?


    Tool-ul o sa fie in curand disponibil pentru toata lumea, momentan doar pentru cei ce ne contacteaza o sa fie trimis pe email.


    Multumim pentru intelegere.

  • rootkit
    rootkit ✭✭✭

    Salutare


    Momentan, utilitarul a fost urcat aici:


    http://www.malwarecity.com/community/index...amp;showfile=57


    Este o locatie temporara, o sa fie lansat oficial in cateva zile.


    Este numai pentru acest ransomware:


    http://www.malwarecity.com/blog/ransomware...ansom-1280.html


    Din motive de siguranta, utilitarul nu sterge fisierele criptate.


    Multumim.

  • Salutare, am primit utilitarul, multumesc mult. Am reusit sa decriptez fisierele dar sunt toate duplicate si e o munca f mare. De dimineata ma chinui sa le sterg si sa le redenumesc (am 3 extensii doc, doc(0) si .EnCiPhErEd si doar cele cu doc(0) sunt cele decriptate) si sunt cam in jur de 12000 de documente, fotografii, pdf si baze de date de la pragrame de conta...

  • rootkit
    rootkit ✭✭✭

    Salut Sorin :)


    Utilitarul a fost facut la cerere(cand a fost deschis topicul aici) in foarte putin timp si dupa cum vezi nu este chiar finisat(nu are interfata grafica).


    Colegul meu de la laboratoare a muncit ceva la el, luand malware-ul, reusind sa-l sparga si sa scoata cheia de decriptare.


    Asa cum am spus mai sus, utilitarul inca nu sterge fisierele criptate din motive de siguranta, nu vrem sa punem in pericol datele clientului.


    Se lucreaza la o versiune oficiala, dar nu pot sa iti spun mai multe acum.


    Poti sa folosesti un software extern sau Windows Search sa stergi acele fisiere.


    Cauta dupa


    *.EnCiPhErEd


    in tot sistemul, selecteaza toate o data si apasa Delete.


    O zi buna!

  • M-am descurcat cu utilitare de find and rename;)

  • Buna ziua, as dori si eu utilitarul daca se poate

  • rootkit
    rootkit ✭✭✭

    Salut Silviu :)


    Bine ai venit pe forum.


    Utilitarul si detaliile sunt aici:


    http://forum.bitdefender.com/index.php?sho...st&p=141444


    O seara placuta!

  • Cand intru pe linkul respectiv ma trimite pe http://www.malwarecity.com/community/index...amp;showfile=57 unde apare mesajul urmator :


    An Error Occurred


    Sorry, an error occurred. If you are unsure on how to use a feature, or don't know why you got this error message, try looking through the help files for more information.


    [#10870] We could not find the file specified

  • cand o sa apara varianta oficiala?

  • Nici eu nu reusesc sa accesez http://www.malwarecity.com/community/index...amp;showfile=57


    Se poate trimite utilitarul pe e-mail ?


    dragonix1956@yahoo.com


    Va multumesc

  • rootkit
    rootkit ✭✭✭

    Salutare la toata lumea :)


    Utilitarul a fost scos momentan de pe site si o sa fie urcat cand o sa fie versiune finala.


    Multumim anticipat pentru intelegere.


    O zi buna va doresc!

  • rootkit
    rootkit ✭✭✭

    Buna seara :)


    Removal toolul a revenit pe Malwarecity.


    Puteti sa-l descarcati de aici:


    http://www.malwarecity.com/community/index...amp;showfile=57


    Multumim.

  • Buna ziua.


    Am luat acest virus, dar la mine mi-a criptat fisierele cu exensia .bl9c98vcvv . Am incercat utilitarul de la Malware City dar nu a mers.


    Ma puteti ajuta cu o solutie ? Multumesc

  • rootkit
    rootkit ✭✭✭

    Salut Alin :)


    Bine ai venit pe forum!


    Pentru a putea investiga in continuare situatia raportata vom avea nevoie de mai multe informatii din computerul tau:


    . Un raport BDSYS;


    [cum se GENEREAZA UN RAPORT BDSYS]


    . Salveaza utilitarul BDSYS intr-o locatie la alegere:


    http://www.bitdefender.com/files/Knowledge.../BDSysLog_i.exe


    . Inchide toate aplicatiile active si ruleaza "BDSysLog_i.exe" cu click dreapta, select "Run as administrator"(doar pe Windows Vista si Windows 7).


    . Click pe butonul "Create log" pentru a incepe generarea raportului;


    Nota: Daca primesti vreun fel de alerta in timpul rularii de la firewall,va trebui sa selectezi Allow/Permite.


    . O bara de progres va indica faptul ca utilitarul creeaza raportul;


    . La sfarsitul acestui proces va aparea pe ecran un mesaj care sa te anunte ca logul s-a creat pe Desktop sub numele de:"bdsyslog.zip"


    Urca acel fisier pe:


    http://www.sendspace.com


    sau


    http://www.mediafire.com


    si trimite un PM cu link-ul de descarcare.


    Noi vom analiza datele si vom trimite o solutie in cel mai scurt timp posibil.


    Multumim.

  • sal


    am si eu probleme cu acest troian pe un hdd


    bitdefender internet security 2012 nu ii face nimic


    am incercat mini utilitarul acesta ...


    odata merge si decripteaza


    alteori nu le face nimic


    cel mai grav este ca merge doar la .jpg


    dar nu ma .mp3 / .mp4 / .avi


    care e secretul ?

  • rootkit
    rootkit ✭✭✭

    Salut


    Bine ai venit pe forum!


    Am facut o cerere catre laboratoare si astept raspuns in legatura cu utilitarul de decriptare.


    Revin cu un raspuns aici.


    O zi buna!

  • rootkit
    rootkit ✭✭✭
    editat aprilie 2012

    Salut Gabriel :)


    In maxim 30 minute o sa iti trimit un email pe adresa cu care te-ai inregistrat pe forum cu niste instructiuni de urmat.


    Tichet: 201204301011008


    Multumim.


    O zi placuta!

  • Buna Cristian


    Cand, probabil, toata lumea a scapat de virusul asta, am dat eu peste el sau el peste mine.


    Am citit ce ati scris despre el, dar fiind destul de vechi informatiile vroiam sa stiu ce as putea face acum. Am in calculator o multime de fisiere cu extensia "enciphered", dar nu am fisiere pe care sa nu le pot accesa...inca. Colega mea, de exemplu, de la care am luat virusul prin intermediul unui fisier virusat, nu mai poate deschide nici un fisier.


    Ce sfat imi dati?


    multumesc mult

  • rootkit
    rootkit ✭✭✭
    editat august 2012

    Buna Doina :)


    Te rog urmeaza pasii de aici:


    http://forum.bitdefender.com/index.php?sho...st&p=142010


    De asemenea, am nevoie de cateva fisiere criptate ca sa le trimit la analiza, pune-le intr-o arhiva si da-mi un PM cu ele.


    O seara placuta!

  • Buna Doina :)


    Te rog urmeaza pasii de aici:


    http://forum.bitdefender.com/index.php?sho...st&p=142010


    De asemenea, am nevoie de cateva fisiere criptate ca sa le trimit la analiza, pune-le intr-o arhiva si da-mi un PM cu ele.


    O seara placuta!


    V-am trimis, sper sa fie ceea ce trebuie,


    multumesc de ajutor

  • rootkit
    rootkit ✭✭✭

    Buna Doina :)


    Fisierele sunt in analiza, revin cu detalii dupa ce primesc niste raspunsuri.


    Multumim!

  • rootkit
    rootkit ✭✭✭

    Buna Doina :)


    Colegii mei nu au gasit nimic suspect in log-uri.


    Acele fisiere nu sunt criptate, doar redenumite.


    Mometan singura metoda de restaurare este redenumirea manuala a fisierelor + adaugarea extensiei potrivite.


    Ne cerem scuze pentru situatia creata, colegii mei au semnat mai multe versiuni ale acestui malware si pe viitor clientii Bitdefender nu ar mai trebui sa fie afectati de el.


    Weekend placut!

  • rootkit
    rootkit ✭✭✭

    Buna Doina :)


    Am primit si celelalte fisiere si le-am trimis la laboratoare pentru analiza.


    Revin curand cu rezultatele.


    Multumesc!

  • Buna Doina :)


    Mai am nevoie de niste informatii inainte sa dau un verdict(de pe cel de-al doilea PC, din ultimul PM):


    1. Mergi la pagina: http://technet.microsoft.com/en-us/sysinte...s/bb963902.aspx si descarca programul Autoruns;


    2. Ruleaza autoruns.exe;


    3. Asteapta ca lista sa fie "umpluta" (si fi sigur ca toate casutele din partea de sus a ferestrei sunt bifate);


    4. Apasa pe "Salvare" (discul de sub meniul "File") si selecteaza o locatie;


    5. Salveaza fisierul si trimite-l prin PM.


    Daca fisierul este prea mare, urca-l pe:


    http://www.sendspace.com


    sau


    http://www.mediafire.com


    si trimite un PM cu link-ul de descarcare.


    Noi vom analiza datele si vom trimite o solutie in cel mai scurt timp posibil.


    Multumim.

  • Buna Cristian,


    Voi trimite raportul pe care il ceri imediat. Intre timp am alta problema :)..e cumva off-topic, dar ...


    Am Bitdefender 2013, mi-a blocat pe rand aplicatiile in care lucram, considerandu-le periculoase. Mai rau e ca mi-a sters si executabilele cu care intram in aplicatii. Degeaba i-am dat eu "permite"..acum nu ma lasa sa copiez inapoi fisierele executabile pe care mi le-a sters :rolleyes: Ma poti ajuta cu o indicatie?


    multumesc mult,

  • rootkit
    rootkit ✭✭✭
    editat septembrie 2012

    Buna Doina :)


    Cel mai probabil acelea era alterate de un malware.


    O solutie ar fi sa setezi produsul sa trimita in carantina fisierele, in felul asta le poti recupera.


    http://forum.bitdefender.com/index.php?sho...st&p=147897


    In situatia asta, trebuiesca reparate/reinstalate acele aplicatii.


    Daca persista situatia si dupa acest pas, cel mai probabil in sistem este un file injector care altereaza toate executabilele.


    Ca pot da mai multe detalii, am nevoie de un log de scanare.


    http://forum.bitdefender.com/index.php?showtopic=36507


    O zi buna!

  • Buna Cristian,


    Nu reusesc sa scanez. Incepe scanarea si la un moment dat se opreste calculatorul. Am repetat de 10 ori, am inchis toate aplicatiile pe care m-am priceput sa le inchid. De fiecare data se opreste calculatorul si nu ajung sa salvez log-ul :(. Cred ca are ceva si windows-ul (xp)..am incercat sa-l deschid in safe mode si se opreste la un fisier de genul.."...Drivers\Mup.sys" si dupa cateva minute se opreste si calculatorul.


    Mai am vreo sansa cu calculatorul asta? :)


    multumesc pentru rabdare si ajutor

  • Buna Cristian,


    Nu reusesc sa scanez. Incepe scanarea si la un moment dat se opreste calculatorul. Am repetat de 10 ori, am inchis toate aplicatiile pe care m-am priceput sa le inchid. De fiecare data se opreste calculatorul si nu ajung sa salvez log-ul :(. Cred ca are ceva si windows-ul (xp)..am incercat sa-l deschid in safe mode si se opreste la un fisier de genul.."...Drivers\Mup.sys" si dupa cateva minute se opreste si calculatorul.


    Mai am vreo sansa cu calculatorul asta? :)


    multumesc pentru rabdare si ajutor


    Pana raspunde Christian, incearca sa faci o scanare cu un rescue CD ( http://forum.bitdefender.com/index.php?showtopic=16603 )


    Asa ai sanse sa faci o scanare chiar daca Windows nu "raspunde".

  • Buna Doina :)


    Poti sa vezi de pe calculatorul al doilea daca poti localiza fisierul asta?


    C:\Users\muhasebe2\AppData\Roaming\20ABD1.exe


    Cel mai probabil locatia este ascusa, trebuie sa faci setarile pentru Windows Explorer.


    http://www.bleepingcomputer.com/tutorials/...s-in-windows-7/


    Daca il gasesti, pune-l te rog intr-o arhiva si da-mi un PM cu el.


    O seara buna!

  • salut am si eu niste fisiere criptate cu terminatia lnk.gzquar cum pot sa le salvez sa le pot deschide din nou? :(