Ratatosk 0 Опубликовано 16 мая, 2016 Share Опубликовано 16 мая, 2016 (изменено) Добрый день! Один из компьютеров был заражен неизвестным шифровальщиком. При заражении имена и расширения изменятся по шаблону Z-email-transcript@india.com-<оригинальное_имя>.odcodc На момент заражения антивирус установлен не был. Как вирус попал на компьютер выяснить не удалось. Надеюсь на Вашу помощь. CollectionLog-2016.05.16-16.03.zip Изменено 16 мая, 2016 пользователем Ratatosk Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 16 мая, 2016 Share Опубликовано 16 мая, 2016 Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. ! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Цитата Ссылка на сообщение Поделиться на другие сайты
Ratatosk 0 Опубликовано 16 мая, 2016 Автор Share Опубликовано 16 мая, 2016 Прилагаю лог TERMINAL_2016-05-16_17-15-03.7z Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 16 мая, 2016 Share Опубликовано 16 мая, 2016 В принципе уже все ясно. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
Ratatosk 0 Опубликовано 16 мая, 2016 Автор Share Опубликовано 16 мая, 2016 Добавил FRST.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 16 мая, 2016 Share Опубликовано 16 мая, 2016 Полное имя C:\USERS\ELENA\APPDATA\ROAMING\CRIPT.BAT Имя файла CRIPT.BAT Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске Удовлетворяет критериям CURRENTVERSION.RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)] EXECUTE.FILE (ИМЯ ФАЙЛА ~ .BAT)(1) [auto (0)] Сохраненная информация на момент создания образа Статус в автозапуске Инф. о файле Не удается найти указанный файл. Цифр. подпись проверка не производилась Ссылки на объект Ссылка HKLM\hthohfclt\Software\Microsoft\Windows\CurrentVersion\Run\Crr1 Crr1 "C:\Users\Elena\AppData\Roaming\cript.bat" Зашли удаленно через RDP. Пробуйте восстановить этот батник и смотрите что он удалял. Error: (05/15/2016 06:44:37 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Имя сбойного приложения: 13.exe, версия: 0.0.0.0, отметка времени: 0x5734ce08 Имя сбойного модуля: 13.exe, версия: 0.0.0.0, отметка времени 0x5734ce08 Код исключения: 0xc0000417 Смещение ошибки: 0x0000f6c9 Идентификатор сбойного процесса: 0x2c0 Время запуска сбойного приложения: 0x13.exe0 Путь сбойного приложения: 13.exe1 Путь сбойного модуля: 13.exe2 Код отчета: 13.exe3 Это возможно сам шифровальщик. Поэтому снимаете жесткий с компа и подключаете его к другому компу, а дальше пробуйте ручками при помощи R-Studio восстановить удаленные файлы. Без тела шифровальщика шансов у вас нет. Цитата Ссылка на сообщение Поделиться на другие сайты
Ratatosk 0 Опубликовано 16 мая, 2016 Автор Share Опубликовано 16 мая, 2016 (изменено) рядом с crypt.bat лежал еще crypt.exe все файлы я сохранил отдельно вот содержимое батника: @echo off erase "C:\Users\%username%\Desktop\readthis.txt" echo Your personal files are encrypted! What happened to your files? All of your files were protected by a strong encryption with RSA-2048. https://en.wikipedia.org/wiki/RSA_(cryptosystem) What does this mean? This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you cant restore them. What to do? We can recover your files. You can trust us, for proof of this we can decrypt some your files for free. How to contact you? Write us to email: transcript@india.com>>"C:\Users\%username%\Desktop\readthis.txt" echo Your PCID:: TERMINAL**********>>"C:\Users\%username%\Desktop\readthis.txt" Что делать дальше? Изменено 16 мая, 2016 пользователем Ratatosk Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 16 мая, 2016 Share Опубликовано 16 мая, 2016 crypt.exe Упакуйте в архив с паролем virus и отправьте этот архив через данную форму Цитата Ссылка на сообщение Поделиться на другие сайты
Ratatosk 0 Опубликовано 16 мая, 2016 Автор Share Опубликовано 16 мая, 2016 Файл закачан Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 16 мая, 2016 Share Опубликовано 16 мая, 2016 Пишите запрос http://forum.kasperskyclub.ru/index.php?showtopic=48525 К запросу прикрепите: 1. Архив с файлом 13.exe 2. Несколько зашифрованных файлов в архиве 3. Текстовой файл readthis.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Ratatosk 0 Опубликовано 17 мая, 2016 Автор Share Опубликовано 17 мая, 2016 Запрос INC000006207643 отправлен Цитата Ссылка на сообщение Поделиться на другие сайты
Ratatosk 0 Опубликовано 24 мая, 2016 Автор Share Опубликовано 24 мая, 2016 Ответ Касперского: Уважаемый пользователь,благодарим Вас за предоставленные данные. Как нам сообщили вирусные аналитики Ваши данные, зашифрованы Trojan-Ransom.Win32.Onion. Вредоносная программа использует стойкий алгоритм шифрования, а ключ находится у злоумышленников. Наши вирусные аналитики приложили все возможные усилия для расшифровки Ваших данных, однако на данный момент расшифровка пока невозможна.Возможно в будущем наши вирусные аналитики найдут решение по расшифровке. Мы рекомендуем Вам следить за обновлением утилит в разделе "Утилиты для борьбы с вирусами": http://support.kaspersky.ru/viruses/utility В случае, если ключ для расшифровки будет нами получен, он будет добавлен в новую версию утилит. Обратите Ваше внимание: Важно всегда держать компонент Мониторинг Активности включённым, с ним риск заражения шифровальщиком сводится к нулю. Подробнее о нём можно почитать в нашей базе знаний: http://support.kaspersky.ru/12091К сожалению, это все, что мы можем порекомендовать Вам на сегодняшний день. Благодарим Вас за понимание! Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 24 мая, 2016 Share Опубликовано 24 мая, 2016 Спустя некоторое время сможете создать новый запрос. Иногда бывает, что спустя время появляется решение. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 21 июля, 2016 Share Опубликовано 21 июля, 2016 Пользователь справился с помощью Blood Dolly Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.