Лечение крипто-вируса MotherFucker v1.0 |
| Автор: Maxim |
| 01 Марта 2011г |
|
Поделиться
Твитнуть
Поделиться
Плюсануть
Поделиться
|
|
После заражения на машине оказываются зашифрованы и не открываются все пользовательские файлы с расширениями *txt,*doc,*docx,*xls,*jpg,*bmp,*mp3 и прочие не системные файлы, кроме *exe и других исполняемых файлов. Также пропадает рисунок рабочего стола. Зараза просит оправить смс для получения ключа дескриптора. В противном случае грозиться по истечении 12 часов уничтожить все данные. За это безобразие отвечают файлы: FYKRAGNL.exe и IIWIPEZIPMPPPJXI, оба в папке C:\windows\system32. Первый можно сразу удалить, предварительно убив процесс. Второй файл "IIWIPEZIPMPPPJXI" является лог-файлом. Ни в коем случае нельзя стирать лог файл, ибо в нём весь список ваших файлов. Если вы стерли файл, то надо его создать: Total Commander находим все файлы с расширением .crypted, далее кнопка "в панель", далее выделяем все файлы, инструменты - копировать полные имена файлов, вставляем в блокнот и сохраняем как надо. Лог должен обязательно быть в system32. Далее запускаем утилиту (ftp://ftp.drweb.com/pub/drweb/tools/te47decrypt.exe), она подхватывает лог и начинает обрабатывать криптованные файлы. Декриптованные файлы создаются рядом с криптованными и уже в нужном нам виде. Далее поиском находим все файлы с расширением *.crypted и shift+delete их! После необходимо очистить реестр от ошибок, связанных с удалением файла FYKRAGNL.exe. Их там будет очень много. Далее перезагружаем машину. После перезагрузки надо переназначить приложения по умолчанию для открытия основных типов файлов. Возможно, данная зараза подкачивается даунлоадером sdra64.exe. В таком случае скорее всего explorer не запускается, рабочий стол не отображается. Для лечения надо запустить explorer из диспетчера задач, в реестре ключ userinit привести в правильное состояние: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon -> ключ userinit должен иметь вид C:\WINDOWS\system32\userinit.exe. После убиваем файлы:
P.S.: Также убиваем папку C:\WINDOWS\system32\lowsec |
| Читайте далее: | Читайте новое: |
