Перейти к содержанию

Шифровальщик Trojan-Ransom.Win32.FileCoder.d

tmnkun
 Поделиться

Рекомендуемые сообщения

tmnkun Новичок

tmnkun

Опубликовано
Опубликовано (изменено)

Добрый день. Текст README аналогичен посту из этой темы. Для инофрмации, так как понял что расшифровки нет. Зашифрованы файлы офисных форматов, архивы, файлы Autocada, картинки, расширение .CRYPTED000007. Вирус со слов пользователя попал при серфинге Интернета через IE11.  Дополнительно могу предоставить репорты Kaspersky Rescure Disk, а также несколько зашифрованных файлов и этих же файлов до шифрации.

 

 

CollectionLog-2017.04.25-10.12.zip

Addition.txt

FRST.txt

Shortcut.txt

Изменено пользователем tmnkun
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Логи FRST переделайте, пожалуйста, запустив утилиту правой кнопкой от имени администратора.

Ссылка на комментарий
Поделиться на другие сайты
tmnkun Новичок

tmnkun

Опубликовано
  • Автор
Опубликовано
Логи FRST переделайте, пожалуйста, запустив утилиту правой кнопкой от имени администратора.

 

 

 

 

 

 

Переделал.

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Включите Восстановление системы.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
2017-04-24 16:48 - 2017-04-24 16:48 - 06220854 _____ C:\Users\posohina.KOGALYM\AppData\Roaming\09E698B309E698B3.bmp
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README9.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README8.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README7.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README6.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README5.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README4.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README3.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README2.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README10.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README1.txt
2017-04-24 16:13 - 2017-04-24 16:13 - 00000000 __SHD C:\Users\Все пользователи\System32
2017-04-24 16:13 - 2017-04-24 16:13 - 00000000 __SHD C:\ProgramData\System32
2017-04-24 15:17 - 2017-04-25 07:39 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-04-24 15:17 - 2017-04-25 07:39 - 00000000 __SHD C:\ProgramData\Windows
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Имеет смысл сохранить закриптованные файлы?

Да, не исключено, что инструмент появится, но пока его нет.

 

Сохраните также содержимое папки C:\FRST

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 4.0.0 (32-разрядная) v.4.0.0 Внимание! Скачать обновления

 

 

Посмотрите настройку KES для защиты от шифрования.

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • foroven
      [РАСШИФРОВАНО]Шифровальщик Trojan-Ransom.Win32.Xorist.ln
      Автор foroven
      Добрый день. Схватили шифровальщик. Кажется что взломали RDP доступ т.к был открыт наружу с слабым паролем. Зашифрованные файлы имеют расширение *.er
      Файлы с обычным расширением где есть файл *.er не открываются. В основном зашифрованы базы 1С и полностью пропал из системы один диск, отображается в диспетчере дисков, как нераспределенный. Но программой восстановления удалось восстановит все файлы, но они также зашифрованы.

      Копии.7z
    • DoctorRS
      Trojan-Ransom.Win32.Mimic
      Автор DoctorRS
      Добрый день. Зашифровали файлы Trojan-Ransom.Win32.Mimic, не работает 1С и файлы офис. Помогите пожалуйста есть ли варианты дешифрации ? 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • nikolai.ilyin
      Ransom.Win32.Generic
      Автор nikolai.ilyin
      Зашифровали всю сеть 
      virus.7z Addition.txt
    • Беляш
      Шифровальщик KOZANOSTRA
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
    • Павел Ф.
      Шифровальщик KOZANOSTRA
      Автор Павел Ф.
      Виртуальную машину с открытым извне не стандартным рдп портом зашифровал вирус KOZANOSTRA. Был установлен антивирус kaspersku Endpoint Securitu. 
      Помогите с расшифровкой. Система под переустановку, нужны файлы и базы
×
×
  • Создать...