Andrey Docker 0 Опубликовано 19 января, 2017 Share Опубликовано 19 января, 2017 (изменено) 18.01.17 примерно в 8:30, на одной машине пользователя запустился шифровальщик, и зашифровал (на самой машине, и сетевых папках к которым имел доступ пользователь) файлы типа doc и xls. Документы перестали открываться (не та кодировка и пр.). Имена файлов остались те же. Изменились только дата и время на текущее время кодировки. На рабочем столе пользователя появился скрытый файл типа: RU51B-2AAGE-HOTAR-FRTXZ-ETRZG-XTXFA-KATRA-GKYYY.KEYОперационная система: Windows 7 Профессиональная (64-разрядная)Согласно рекомендации: https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]1. Провел проверку ПК "Kaspersky Virus Removal Tools 2015"Касперский обнаружил Троянскую программу: Trojan-Ransom.Win32.Spora.dФайл: C:\User\~ПОЛЬЗОВАТЕЛЬ~\AppData\Local\Temp\file.exeТроянская программаMD5: 5EC03B4F84390595BFD17ACDE23F33A6SHA256: 491AFA46F1F4ED5E9831E92BF31A65505A89A9D12FC010BC5E1369F0E4AE12E9Выбрал действие: Скопировать в карантин2. Сборщиком логов компьютер просканировал. Логи к письму прикрепляю. CollectionLog-2017.01.19-09.42.zip Изменено 19 января, 2017 пользователем Andrey Docker Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 19 января, 2017 Share Опубликовано 19 января, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
Andrey Docker 0 Опубликовано 20 января, 2017 Автор Share Опубликовано 20 января, 2017 Отчет утилиты Farbar: FRST.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 20 января, 2017 Share Опубликовано 20 января, 2017 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: GroupPolicy: Restriction <======= ATTENTION 2017-01-18 08:40 - 2017-01-18 08:40 - 00001088 ___RH C:\Users\ikomarov\AppData\Roaming\RU51B-2AAGE-HOTAR-FRTXZ-ETRZG-XTXFA-KATRA-GKYYY.KEY 2017-01-18 08:30 - 2017-01-18 08:41 - 14354936 _____ C:\Users\ikomarov\AppData\Roaming\951948370 C:\Users\ikomarov\AppData\Local\Temp\ARPPRODUCTICON.exe C:\Users\ikomarov\AppData\Local\Temp\dlBCA6C3BB-E6D8-6846-B53A-5ADCF55F428C.exe C:\Users\ikomarov\AppData\Local\Temp\KTOutlk.dll C:\Users\ikomarov\AppData\Local\Temp\NewShortcut3_038FA51CD2344986B5A666934722DB27.exe C:\Users\promanov\AppData\Local\Temp\KTOutlk.dll zip:C:\FRST\Quarantine Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму Цитата Ссылка на сообщение Поделиться на другие сайты
Andrey Docker 0 Опубликовано 23 января, 2017 Автор Share Опубликовано 23 января, 2017 (изменено) Лог-файл: ================= Созданный утилитой архив 23.01.2017_08.42.37.zip загрузил через форму http://virusinfo.info/upload_virus.php?tid=37678При заполнении формы, в поле "Ссылка на тему" оставил по умолчанию "http://virusinfo.info/showthread.php?t=37678". Результат загрузки: Файл сохранён как170123_085921_23.01.2017_08.42.37_58859bb99931f.zipРазмер файла16965499MD5 de79ce9c89f366fedfcdac7fdebc598a Fixlog.txt Изменено 23 января, 2017 пользователем Andrey Docker Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 23 января, 2017 Share Опубликовано 23 января, 2017 Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525 Цитата Ссылка на сообщение Поделиться на другие сайты
Stahan0vec 0 Опубликовано 23 января, 2017 Share Опубликовано 23 января, 2017 Произошло тоже самое, скажите что делать? проделать те же операции или ждать ответа по теме? Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 23 января, 2017 Share Опубликовано 23 января, 2017 Произошло тоже самое, скажите что делать? проделать те же операции или ждать ответа по теме?Создать свою тему нужно. Чужие инструкции нельзя выполнять. Цитата Ссылка на сообщение Поделиться на другие сайты
Andrey Docker 0 Опубликовано 24 января, 2017 Автор Share Опубликовано 24 января, 2017 (изменено) Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525 Проконсультируйте, пожалуйста: 1. Какие (согласно пункту 5, инструкции https://forum.kasperskyclub.ru/index.php?showtopic=48525) файлы необходимо прикрепить к письму запроса, в моем случае? 2. Вложение из вредоносного письма, и само письмо - не сохранено. Соответственно, прислать их не смогу. Имеются ли, при таком условии, шансы на расшифровку документов? 3. На момент заражения, антивируса от Касперского на компьютере не стояло. Подойдет ли, код активации, приобретенный и активированный позже? Изменено 24 января, 2017 пользователем Andrey Docker Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 24 января, 2017 Share Опубликовано 24 января, 2017 (изменено) 1. Копию вредоносного письма в EML формате, содержимое папки SysWHist, несколько небольших зашифрованных файлов. 2. Тогда содержимое папки C:\FRST\Quarantine 3. См. FAQ по ссылке. Изменено 24 января, 2017 пользователем mike 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.