Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

шифровальщик sos@ausi.com_fg177 залочил файлы

Roman Nikitenko
 Поделиться

Рекомендуемые сообщения

Roman Nikitenko

Roman Nikitenko

Опубликовано
Опубликовано

Приветсвую, комп главбуха поймал шифровальщика.. sos ausi. зашифрованы все doc, jpeg, xls и базы данных.  Запустился он в момент распаковки архива VFP9SP2RT с библиотеками для "налогоплательщика" которых там не хватало. архив предлагался на какомто форуме,  проблему с налогоплательщиком он похоже  решил.. чтото применилось.. он начал работать.. НО В ЭТОТ МОМЕНТ ШИФРАНУЛИСЬ ВСЕ ФАЙЛЫ.. теперь они имеют разрешение sos@ausi.com_fg177.  Это очень печально архивы бухгалтерской программы так же нечитаемы..  пираты просят 8000 ...  

Прилагагаю все инфо файлы которые требуются.. просим помощи иначе у нас будут большие проблемы.. Есть лицензия касперского. но  на этот комп не успели поставить.. ((( 


прилагаю ещё один шифрованный файл в архиве... Спасибо большое заранее

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

19 2011.xlsx.SOS@AUSI.rar

mike 1

mike 1

Опубликовано
Опубликовано
Здравствуйте! Обновите базы AVZ (Файл => Обновление баз).
 
Закройте все программы
 
Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
 
begin
ExecuteAVUpdate;    
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\DOCUME~1\glav-buh\LOCALS~1\Temp\radD83A2.tmp.exe','');
 QuarantineFile('C:\WINDOWS\tasks\At1.job','');     
 DeleteFile('C:\DOCUME~1\glav-buh\LOCALS~1\Temp\radD83A2.tmp.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\o9brjux.job','32');
 DeleteFile('C:\WINDOWS\tasks\At1.job','32');
 DeleteFile('C:\Documents and Settings\glav-buh\Главное меню\Программы\Автозагрузка\africa.bmp','32');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
 

quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
 
O4 - S-1-5-18 Startup: africa.bmp (User 'SYSTEM')
O4 - .DEFAULT Startup: africa.bmp (User 'Default user')
O4 - Startup: africa.bmp
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD3B8065-81DF-49D3-A9A7-1615A994E9DC}: NameServer = 37.10.116.202,8.8.8.8
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF1CB58A-4FFD-4A54-8E5F-77A3EBB289B3}: NameServer = 37.10.116.202,8.8.8.8
 

Перезагрузите компьютер, снова запустите HijackThis и убедитесь, что этих строк там больше нет.
 
Если после фикса пропадет Интернет, впишите в настройки DNS адреса, выданные Вам провайдером (см. договор или звоните в их техподдержку).
 
Очистите куки и кэш браузеров
 
Сделайте новые логи по правилам раздела.
 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Антон.Б
      Поймал шифровальщика через RDP .r9Zw10Hg
      Автор Антон.Б
      Установлен корпоративный KES . через RDP перебором (слабый пароль был  ) добрались до учетки с правами админа и зашифровали комп, KES  отключили. подскажите что дальше делать.
      С Уважением Антон
      Xyd3RcAk4M.rar
    • Valek777
      зашифрованы файлы
      Автор Valek777
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: 419D9A8EFC43B7B3A621|0 на электронный адрес decode00001@gmail.com или decode00002@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 419D9A8EFC43B7B3A621|0 to e-mail address decode00001@gmail.com or decode00002@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. CollectionLog-2015.03.27-22.57.zip
    • СергейПенза
      Вирус шифровальщик *zmsgrcl
      Автор СергейПенза
      Здравствуйте! Вирус зашифровал офисные файлы, .pdf, .jpeg, архивы. У всех файлов добавлено расширение .zmsgrcl
      Прикрепляю 2 версии одного файла, зашифрованную и обычную, рабочую, так же CureIt нашел тело вируса(2 файла с одинаковым размером, но разными именами), временная активность совпадает с временем поражения. Так же прикрепляю логи. Пароль на архив infected
      Заранее спасибо!
       

      Строгое предупреждение от модератора Roman_Five Зловреда выкладывать не надо! CollectionLog-2015.01.29-11.52.zip
    • vi-ego
      Вирус-шифровальщик
      Автор vi-ego
      Всем добрый день. У меня такая вот проблемка. На днях user  открыл почтовое сообщение в котором было тело вируса и естественно его запустил по незнанию, в результате в течении минуты были зашифрованы все файлы на его рабочей машине. Помогите исправить, как можно дешифровать данные? Все нужные файлы во вложении. Ни в коем случае не запускаем файл с расширением . exe иначе Ваши файлы все зашифруются..
       
       

      Сообщение от модератора Карантин в теме Doc1.doc
    • vkams
      Шифровальщик .no_more_ransom [Shade Ransomware]
      Автор vkams
      Пользовательница открыла .zip-файл якобы из налоговой. По её словам, антивирус nod32 предупредил и, вроде, не дал выполнить. Через 30 мин, заметив проблемы с базой The bat! (часть писем не показывалась), обратилась ко мне. Я обнаружил признаки шифрования, по одной из тем в этом разделе убил 'C:\ProgramData\Windows\csrss.exe' с помощью AVZ, но огромное количество файлов и папок уже зашифрованы. Последующая проверка с помощью Kaspresky Security Scan, DrWeb CureIt!, Malwarebytes показали, что других заражений нет. Отчёты FRST прилагаю. 
       
      Есть ли расшифровщик?

      Папка quarantine была пустой, так что, может, ничего при запуске AVZ и не убилось, разве что перезагрузка прервала работу шифровальщика. Действовал в цейтноте, не слишком разумно... .
      Addition.zip
      FRST.zip
×
×
  • Создать...