Лечение вируса help@antivirusebola.com

К нам обратился клиент, юридическое лицо г. Саратова. Клиенту на почту пришло письмо с  zip архивом, в архиве исполняемый файл с маскировкой под финансовый документ. Открыв исполняеняемый файл — клиент сам активировал вирус.

Вот само письмо.

При открытии файла-вируса из письма, вирус зашифровал все файлы и базы на ПК и сетевых дисках, что вызвало остановку работу фирмы.

Изучив вирус, удалось найти следующую информацию:

Шифрует файлы алгоритмом AES. Для каждой новой атаки вирус обращается на свой сервер и получает уникальный id и пароль. Подобрать пароль и расшифровать фалы без обращения к злоумышлиникам весьма сложно. Для лечения файлов нужно ждать дешифратор от разработчиков антивирусов или самим искать пароль, на что к сожалению уйдет пару лет. Контактный email help@antivirusebola.com использует третья модификация Trojan.Enoder.741, дополнительный email — antivirusebola@aol.com. Дополнительное расширение у файлов — *.id-1234567890_help@antivirusebola.com (цифры могут быть другими). Распространение началось 20.08.2014 К сожалению, расшифровки этого варианта пока нет, но работы ведутся.

Антивирусы его не видят, вирус не проявляет явную вирусную активность. При запуске вирус шифрует файлы на фоновом задании, маскируясь под обычную программу.

Времени у заказчика не было  и он был готов заплатить любые деньги. Мы связались с злоумышликами (создателями вируса) и получили следующий ответ:

От кого: help@antivirusebola.com
Кому: --
27 ноября, 22:202 файла
Эпидемия под контролем.
Наша секретная лаборатория меняет дезинфектор на биткоин.
Примем только 1 Биткоин.
Купить биткоин можно где угодно и как угодно.
Например
https://localbitcoins.com/ru/
http://wmglobus.com
https://matbea.com
https://wmcash.biz
https://xchange.cc/
https://obmenka.me/
https://orangeexchangepro.com/
https://apsmoney.com/
https://24change.com/
http://obmenservice.com
https://www.alfacashier.com/ru
Переводите напрямую на кошелёк биткоин
1BKDkFkdmc16mtNEoTTvKPVGtUkQTD28uS
Высылаем тест файл и дезинфектор,пароль после поступления биткоин.

Нам прислали наш расшифрованный файл и программу Disinfector.  Если вам нужно расшифровать 1 файл напишите им, они его расшифруют бесплатно.

Но проблемма в том, что Disinfector не работает без пароля, а за пароль нужно перевести 20 000 рублей (1 Биткоин ) на кошелек — 1BKDkFkdmc16mtNEoTTvKPVGtUkQTD28uS

Мы смогли сторговаться на 0.5  Биткоин 10 000 рублей и нам прислали вот такое письмо:

От кого: <help@antivirusebola.com>
Дата: 2 декабря 2014 г., 14:09
Тема: Re: Запрос
Кому: --
.id-3830085397_help@antivirusebola.com
Password: bbp7g5sELZM2a9bnaVG3Sym8uuIGjxrlzHhGBBadoN5pL7ELSbEAASxUd7pnsHARfHnH9nKn3FEEB0gjaLJAu8ky4BLl0c5eJhLIxmXoSrTjr2urC6SX34kVuY9t13zA
Disinfector.ace Winrar архив
Копируйте и вставляйте пароль без пробела в начале и конце(id копируйте полностью,включая точку впереди).При ошибке копирования пароля,дезинфицирует в хлам без возможности восстановления.Поэтому важное дублируйте до дезинфекции,в случае неудачи можно повторить дешифровку……Windows 7 8 запускайте от администратора..при открытии docx xlsx может возникать окно предупреждения,это не проблема, жмите ок и сохраните поверх открытого документа.
В начале пробуйте на тестовых экземплярах.Дезинфицируйте маленькими партиями. 1С бухгалтерию дезинфицируйте,предварительно удаляя дубликаты в папке базы 1С (Например два одинаковых файла 1.dbf и 1.dbf.id-00000000_help@antivirusebola.com…удалите 1.dbf без хвоста).При ошибке,откройте базу через конфигуратор и переиндексируйте базу.
Для защиты от вирусов установите Касперского 2015

Используя пароль, id и Disinfector мы смогли вернуть все файлы к прежнему состоянию.

Если у вас другой id не пытайтесь использовать наш пароль. Вы уничтожите свои файлы !!!