Как вылечить вирус нейтрино
.neitrino – по праву считается одним из самых старых массовых шифровальщиков. Но злоумышленники распространяют его до сих пор. Первые случаи заражения ПК пользователей этим зловредом фиксировались еще в конце 2015 года. И мы продолжаем фиксировать случаи заражения весной 2017-го. Распространяется он довольно бесхитростным методом – используя вложения электронной почты (pdf файлы) замаскированные под письма из банков, налоговой, от контрагентов и.т.д. В случае малейшего подозрения на то что в Вашем компьютере “поселился” шифровальщик (а обычно процесс шифрования занимает от нескольких часов до нескольких дней и практически ничем себя не выдает) – следует немедленно выключить ПК и позаботится о надежной антивирусной защите. Если же все Ваши файлы уже зашифровывались – не спешите паниковать и платить злоумышленникам, ведь нам известен не один случай когда хакеры НЕ присылали ключей расшифровки.
neitrino – файлы – удаление
После полного шифрования всех физических и схемных дисков – данный зловред помещает “информационный” файл MESSAGE в каждой папке. Выглядит это следующим образом:
.neitrino “руководство по раcшифровке”
E-Mail для связи с злоумышленниками часто может меняться, хотя основной – mr.anders@protonmail.com. Следуйте указаниям ниже и не платите деньги злоумышленникам.
Удалить вирус-шифровальщик .neitrino с помощью автоматического чистильщика
Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянов с ее помощью.
- Загрузить программу для удаления вируса .neitrino. После запуска программного средства, нажмите кнопку Start Computer Scan (Начать сканирование).Загрузить программу для удаления вируса-кодера .neitrino
- Установленное ПО предоставит отчет по обнаруженным в ходе сканирования угрозам. Чтобы удалить все найденные угрозы, выберите опцию Fix Threats (Устранить угрозы). Рассматриваемое зловредное ПО будет полностью удалено.
Восстановить доступ к зашифрованным файлам с расширением .neitrino
Как было отмечено, программа-вымогатель .neitrino блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа. Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.
Дешифратор – программа автоматического восстановления файлов
Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как Data Recovery Pro восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, эффективность которй была подтверждена уже не один раз.
Загрузить программу-дешифратор восстановления данных Data Recovery Pro
Теневые копии томов
В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.
Резервное копирование
Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.
Проверить возможное наличие остаточных компонентов вируса-вымогателя .neitrino
Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью помощью надежного универсального антивирусного комплекса.
Загрузить программу для удаления вируса-шифровальщика .neitrino
Похожее
Источник
#1
alone1n
alone1n
- Members
- 1 Сообщений:
Newbie
Отправлено 09 Октябрь 2015 — 12:31
Добрый день. Сегодня утром, при попытке открыть вордовский файл, офис открыл окно с предложением обновиться для открытия неизвестного формата файла. Обновившись, вордовские файлы приняли расширение .neitrino и собственно зашифровались. Исходника шифровальщика так и не нашел. Есть только поврежденные файлы. Также сгенерировался txt файл с содержимым:
Унать стоимость декриптора можно, написав письмо на адрес:
neitrino@protonmail.com
В теме письма укажите ваш ID:6635354775
Убедительная просьба не пытаться расшифровать файлы сторонними инструментами.
Вы можете их окончательно испортить и даже оригинальный декриптор не поможет.
Приобрести декриптор можно до 12.10.2015
Заявки обрабатываются автоматической системой.
Подскажите, что можно сделать?
#2
Dr.Robot
Dr.Robot
- Helpers
- 2 715 Сообщений:
Poster
Отправлено 09 Октябрь 2015 — 12:31
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ — сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.
Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
— прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба — это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
4. При возникновении проблем с интернетом, таких как «не открываются сайты», в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа «Содержание сайта заблокировано» и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
- Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить…
- В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
- Напишите в этом черном окне команду ipconfig /all>»%userprofile%ipc.log» и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,»%userprofile%ipc.log» и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
- Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.
#3
v.martyanov
v.martyanov
- Virus Analysts
- 8 308 Сообщений:
Guru
Отправлено 09 Октябрь 2015 — 12:34
Сделать можно что угодно, особенно если вы не указываете чего вы хотите добиться.
#4
VVS
VVS
- Moderators
- 17 608 Сообщений:
The Master
Отправлено 09 Октябрь 2015 — 12:38
1. Исходник вируса — именно тот файл, при открытии которого «офис открыл окно с предложением обновиться для открытия неизвестного формата файла».
2. Прочитайте и выполните пункт №3 сообщения № 2 в этой теме.
При этом учтите, что услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web.
—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы…… © alehas777
#5
RomaNNN
RomaNNN
- Dr.Web Staff
- 5 801 Сообщений:
Ковальски
Отправлено 09 Октябрь 2015 — 13:23
Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.
#6
v.martyanov
v.martyanov
- Virus Analysts
- 8 308 Сообщений:
Guru
Отправлено 09 Октябрь 2015 — 13:24
263-й, если я не ошибаюсь, энкодер.
#7
antoshik86
antoshik86
- Members
- 1 Сообщений:
Newbie
Отправлено 09 Октябрь 2015 — 15:35
У меня попались на этом шифраторе коллеги. Антивирус тогда еще не ловил его. Я добавлял в базы. Могу дать сам вирус и зашифрованные файлы.
Купил лицензию только что, помогите с дешифровкой.
Сообщение было изменено VVS: 09 Октябрь 2015 — 15:48
#8
VVS
VVS
- Moderators
- 17 608 Сообщений:
The Master
Отправлено 09 Октябрь 2015 — 15:46
—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы…… © alehas777
#9
VVS
VVS
- Moderators
- 17 608 Сообщений:
The Master
Отправлено 09 Октябрь 2015 — 15:48
antoshik86, вирусы на форуме публиковать запрещено.
Модератор
—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы…… © alehas777
#10
mike 1
mike 1
- Posters
- 726 Сообщений:
Advanced Member
Отправлено 09 Октябрь 2015 — 20:27
263-й, если я не ошибаюсь, энкодер.
А мне ответили в [drweb.com #6223850], что это Trojan.Encoder.2279.
То́нут ведь не потому, что плавать не умеют. Тонут, когда нет сил оставаться на берегу.
#11
fetch
fetch
- Posters
- 324 Сообщений:
Member
Отправлено 10 Октябрь 2015 — 09:59
263-й, если я не ошибаюсь, энкодер.
А мне ответили в [drweb.com #6223850], что это Trojan.Encoder.2279.
Не все аналитики с первого взгляда узнают модификации старых энкодеров.
#12
v.martyanov
v.martyanov
- Virus Analysts
- 8 308 Сообщений:
Guru
Отправлено 10 Октябрь 2015 — 10:12
Роботы так тем более их не узнают.
#13
stacs
stacs
- Members
- 2 Сообщений:
Newbie
Отправлено 14 Октябрь 2015 — 12:13
Владимир, столкнулись тоже с этим шифровальщиком.
запрос 7***-3***.
Ответили, что расшифровка невозможна.
Нам можно переустанавливать систему или стоит подождать лишний месяц?
Спрашиваю вас как последнюю надежду.
Сообщение было изменено VVS: 14 Октябрь 2015 — 12:25
Номера запросов в ТП на форуме публиковать нельзя
#14
bobboby2
bobboby2
- Members
- 1 Сообщений:
Newbie
Отправлено 18 Октябрь 2015 — 02:34
Неужели никто до сих пор не расшифровал этого нейтрино?Обращался в другие антивирусные компании так те вообще браться за расшифровку не хотели.
#15
Alexander13
Alexander13
- Posters
- 191 Сообщений:
Member
Отправлено 18 Октябрь 2015 — 10:04
Неужели никто до сих пор не расшифровал этого нейтрино?Обращался в другие антивирусные компании так те вообще браться за расшифровку не хотели.
Специалисты Доктор Веб берёт только при наличии лизенции продукта Dr.Web Sucurity Space/Antivirus в тех поддержку им нужно ключ лизенций + логи отчёт в инструкции который модератор SergM писал тему https://forum.drweb.com/index.php?showtopic=313238 Вам помогут=)
#16
stacs
stacs
- Members
- 2 Сообщений:
Newbie
Отправлено 19 Октябрь 2015 — 11:02
Неужели никто до сих пор не расшифровал этого нейтрино?Обращался в другие антивирусные компании так те вообще браться за расшифровку не хотели.
Специалисты Доктор Веб берёт только при наличии лизенции продукта Dr.Web Sucurity Space/Antivirus в тех поддержку им нужно ключ лизенций + логи отчёт в инструкции который модератор SergM писал тему https://forum.drweb.com/index.php?showtopic=313238 Вам помогут=)
Вы справились? Вам помогли? Или просто треплетесь?
Файлы расшифровали?
#17
Alexander13
Alexander13
- Posters
- 191 Сообщений:
Member
Отправлено 19 Октябрь 2015 — 21:46
Неужели никто до сих пор не расшифровал этого нейтрино?Обращался в другие антивирусные компании так те вообще браться за расшифровку не хотели.
Специалисты Доктор Веб берёт только при наличии лизенции продукта Dr.Web Sucurity Space/Antivirus в тех поддержку им нужно ключ лизенций + логи отчёт в инструкции который модератор SergM писал тему https://forum.drweb.com/index.php?showtopic=313238 Вам помогут=)
Вы справились? Вам помогли? Или просто треплетесь?
Файлы расшифровали?
Если пользователь купил лизенцию на 1 или на 3 года, то конечно специалисты помогают пользователем при наличии лизенции, в том числе нужно ждать пока специалисты подберут ключи для расшифировки( только они сильные специалисты Dr.Web компании и умеют расшифировывать), а без лизенции — к сожелание специалисты не помогут вам расшифировывать файлы . Это уже ваши дела и тот решайте. Я всегда используюсь надёжный антивирус Dr.Web Security Space — живу долго почти 5 лет. С ув.Александр.
Сообщение было изменено Alexander13: 19 Октябрь 2015 — 21:48
#18
itdoctor
itdoctor
- Posters
- 3 Сообщений:
Newbie
Отправлено 21 Октябрь 2015 — 07:39
Вы справились? Вам помогли? Или просто треплетесь? Файлы расшифровали?
Вот полностью поддерживаю товарища. Кто-нибудь, кому реально оказали помощь отпишитесь о положительном исходе в ветку или личку.
— на 263 кодер Eset говорит «не поможем»
— к чести ЛК не мурыжит потерпевших (по форуму видел месяц-два «тренировок» различными декрипторами), а пишет вот так: С расшифровкой не поможем https://forum.kaspersky.com/index.php?showtopic=334522
Всем подверженным религии DrWeb сразу скажу, что не ущемляю религиозных чувств, ибо понимаю любая работа стоит денег пусть и через покупку хотя бы лицензии. А решение об эффективности того или иного АВ я оставлю за собой.
Вопрос состоит из простого да/нет. Просто стоит бизнес и нет времени у клиента рассуждать о «высоком и нравственном».
Меня прошу понять, крайне не хочу испытать чувства не профессионализма перед клиентом дав ему ложную надежду и потеряв время, прислав клиенту через N дней:
Здравствуйте!
Файлы зашифрованы одним из вариантов Trojan.Encoder.263
К сожалению, для этой его разновидности (использующей шифр RSA) расшифровка нашими силами невозможна.
Восстановление данных — только из резервных копий (если велось резервное копирование).
С уважением, ххххххх хххххххх
служба технической поддержки компании «Доктор Веб»
ЗЫ: заражение через присланный безобидный с первого вида PDF, письма нет т.к. PST шифрован, шедоу потерт, бекапы также шифрованы.
Сообщение было изменено itdoctor: 21 Октябрь 2015 — 07:41
#19
v.martyanov
v.martyanov
- Virus Analysts
- 8 308 Сообщений:
Guru
Отправлено 21 Октябрь 2015 — 11:46
«бекапы также шифрованы. » — это были не бэкапы, не путайте термины.
#20
itdoctor
itdoctor
- Posters
- 3 Сообщений:
Newbie
Отправлено 21 Октябрь 2015 — 13:12
это были не бэкапы, не путайте термины
уважаемый наш эксперт
1. повод и место для тролинга вами выбрано крайне неуместно
2. вы у же в том возрасте, чтобы научится признавать очевидные вещи: с нас пострадавших хотя бы поиметь лицензию на 263
мы как клиенты тоже же знаете ли можем — антивирус который не детектит вирус известный не один год, не антивирус, не путайте термины.
Источник
