У жены на работе подцепили вирус шифровальщик. Для интереса взял домой посмотреть на этого зверя. Обычный zip архив, а внутри файл с расширением ".pdf.js". Распаковал его, дал понюхать касперу, тот определил его как Trojan-Dropper.JS.Scatter.m. Если нужен кому для опытов могу скинуть, zip еще остался.
Но интересен вопрос, реально ли расшифровать то, что он поломал у них там на работе?
Обновление.
На зараженном компе было обнаружено тело вируса в файле VAULT.hta. Eset определял его как Win32/Filecoder.FH. Самое странное, что заражение произошло при работающем ESET Smart Security 4 обновляющимся ежедневно.
Вступил в переписку с техподдержкой ESET, отправлял им разные файлы по требованию. Они прислали прогу, запустил и все расшифровалось!!! Посмотрел что интересного в логах пишет их прога. Создалось впечатление, что ключ для расшифрования находился прям в системе в каталоге ProgramData\Microsoft\Crypto\RSA\MachineKeys и прога его использовала.
Изменено: Mistral, 9.12.2015 - 19:43
))))
