Перейти к содержанию

Шифровальщик Trojan-Ransom.Win32.FileCoder.d

tmnkun
 Share Подписчики 1

Рекомендуемые сообщения

tmnkun

tmnkun 0

Опубликовано
Опубликовано (изменено)

Добрый день. Текст README аналогичен посту из этой темы. Для инофрмации, так как понял что расшифровки нет. Зашифрованы файлы офисных форматов, архивы, файлы Autocada, картинки, расширение .CRYPTED000007. Вирус со слов пользователя попал при серфинге Интернета через IE11.  Дополнительно могу предоставить репорты Kaspersky Rescure Disk, а также несколько зашифрованных файлов и этих же файлов до шифрации.

 

 

CollectionLog-2017.04.25-10.12.zip

Addition.txt

FRST.txt

Shortcut.txt

Изменено пользователем tmnkun
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Логи FRST переделайте, пожалуйста, запустив утилиту правой кнопкой от имени администратора.

Ссылка на сообщение
Поделиться на другие сайты
tmnkun

tmnkun 0

Опубликовано
  • Автор
Опубликовано
Логи FRST переделайте, пожалуйста, запустив утилиту правой кнопкой от имени администратора.

 

 

 

 

 

 

Переделал.

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Включите Восстановление системы.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
2017-04-24 16:48 - 2017-04-24 16:48 - 06220854 _____ C:\Users\posohina.KOGALYM\AppData\Roaming\09E698B309E698B3.bmp
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README9.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README8.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README7.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README6.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README5.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README4.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README3.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README2.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README10.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README1.txt
2017-04-24 16:13 - 2017-04-24 16:13 - 00000000 __SHD C:\Users\Все пользователи\System32
2017-04-24 16:13 - 2017-04-24 16:13 - 00000000 __SHD C:\ProgramData\System32
2017-04-24 15:17 - 2017-04-25 07:39 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-04-24 15:17 - 2017-04-25 07:39 - 00000000 __SHD C:\ProgramData\Windows
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Имеет смысл сохранить закриптованные файлы?

Да, не исключено, что инструмент появится, но пока его нет.

 

Сохраните также содержимое папки C:\FRST

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 4.0.0 (32-разрядная) v.4.0.0 Внимание! Скачать обновления

 

 

Посмотрите настройку KES для защиты от шифрования.

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем
×
×
  • Создать...