maxspb Опубликовано 1 июня, 2014 Опубликовано 1 июня, 2014 Добрый день, У нас случилась точно такая же беда. В компанию пришло письмо с таким же текстом и письмо переслали бухгалтеру.В результате практически все файлы зашифровались. с изменение расширения на unstyx@gmail_com Подскажите есть ли шанс расшифровать и какие дополнительные действия нужно сделать Письмо сохраненное прикладываю Сообщение от модератора Mark D. Pearlstone Файл удалён.
mike 1 Опубликовано 1 июня, 2014 Опубликовано 1 июня, 2014 Подскажите есть ли шанс расшифровать Без шансов. какие дополнительные действия нужно сделать Сделать логи по правилам.
maxspb Опубликовано 1 июня, 2014 Автор Опубликовано 1 июня, 2014 Прикладываю логи virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt
Roman_Five Опубликовано 1 июня, 2014 Опубликовано 1 июня, 2014 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\Users\alina\AppData\Roaming\gnupg\*',''); QuarantineFile('C:\Windows\Temp\TS_81E2.tmp',''); QuarantineFile('C:\Users\alina\appdata\local\temp\svchost.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.После выполнения скрипта компьютер перезагрузится.Для создания архива с карантином выполните скрипт:begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end.Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).В строке "Электронный адрес:" укажите адрес своей электронной почты.Полученный ответ сообщите в этой теме.
mike 1 Опубликовано 1 июня, 2014 Опубликовано 1 июня, 2014 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteAVUpdate; ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\Users\alina\appdata\local\temp\svchost.exe',''); QuarantineFile('C:\Users\alina\AppData\Local\Temp\svchost.exe',''); DeleteFile('C:\Users\alina\AppData\Local\Temp\svchost.exe','32'); DeleteFile('C:\Users\alina\appdata\local\temp\svchost.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Что в этой папке? 2014-05-26 12:20:25 ----D---- C:\Users\alina\AppData\Roaming\gnupg Сделайте новые логи AVZ Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\LogsФайл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве
maxspb Опубликовано 1 июня, 2014 Автор Опубликовано 1 июня, 2014 Добрый день, Скрипты выполнил, запрос отправил. В папке gnupg - файлы с расширением .gpg и gpg.lock в одном из них (pubring.gpg есть кусок текста c unstyx и тд ). Логи + файл карантина + архив папки gnupg приложил. virusinfo_syscheck.zipMBAM-log-2014-06-01 (18-26-34).txt Сообщение от модератора Mark D. Pearlstone Не выкладывайте то, что не просят. Лишние файлы удалены
mike 1 Опубликовано 1 июня, 2014 Опубликовано 1 июня, 2014 (изменено) В MBAM удалите только эту запись: Обнаруженные файлы: c:\windows\system32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято. Папка C:\Users\alina\AppData\Roaming\gnupg От легальной программы GnuPG (http://ru.wikipedia.org/wiki/GnuPG), которую использовали для шифрования файлов. Можете удалить ее т.к. в ней нет приватного ключа, который мог бы помочь в расшифровке файлов. Изменено 1 июня, 2014 пользователем mike 1
maxspb Опубликовано 2 июня, 2014 Автор Опубликовано 2 июня, 2014 Добрый день, В одной из папок нашел файл KEY.PRIVATE - не знаю поможет ли, но на всякий случай прилагаю. Случайно обратил внимание на то, что у всех зашифрованных файлов совпадают первые несколько байт. С надеждой что это как то поможет прикладываю пару файлов. Возможно смогу найти и оригиналы файлов, если нужно... KEY.PRIVATE.zipfiles.rar
mike 1 Опубликовано 2 июня, 2014 Опубликовано 2 июня, 2014 Это вы нашли открытый RSA ключ он ни чем не поможет. Без закрытого ключа RSA файлы расшифровать нельзя. Поэтому без шансов. 1
qwect Опубликовано 16 июня, 2014 Опубликовано 16 июня, 2014 Здравствуйте, похожая ситуация с зашифрованными файлами. Подскажите, пожалуйста, не решена ли проблема на данный момент. Требуют 100 евро.
mike 1 Опубликовано 16 июня, 2014 Опубликовано 16 июня, 2014 qwect ответ дан в 9 сообщении если у вас тоже самое.
qwect Опубликовано 16 июня, 2014 Опубликовано 16 июня, 2014 платить... подскажите, возможно ли заплатить, получить необходимое для расшифровки, а затем отозвать платёж?
mike 1 Опубликовано 16 июня, 2014 Опубликовано 16 июня, 2014 возможно ли заплатить, получить необходимое для расшифровки, а затем отозвать платёж? Думаю автор шифратора не дурак чтобы сразу выслать секретную часть ключа. 2
nail4u2 Опубликовано 18 июня, 2014 Опубликовано 18 июня, 2014 Только не вздумайте платить. Парни сначала участливо переписываются, когда доходит до подтверждения получения средств - отвечают что средств не получали и перестают отвечать. Будьте аккуратнее.
Андрей Опубликовано 18 июня, 2014 Опубликовано 18 июня, 2014 платить... подскажите, возможно ли заплатить, получить необходимое для расшифровки, а затем отозвать платёж? В некоторых ситуациях, полученный платеж можно отозвать. Смотря какие возможности у вашего банка. Я в своем например могу отозвать по причине "не получена оплаченная услуга". В Вашем случае злоумышленник не смог бы доказать обратное...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти