maxspb 0 Опубликовано 1 июня, 2014 Share Опубликовано 1 июня, 2014 Добрый день, У нас случилась точно такая же беда. В компанию пришло письмо с таким же текстом и письмо переслали бухгалтеру.В результате практически все файлы зашифровались. с изменение расширения на unstyx@gmail_com Подскажите есть ли шанс расшифровать и какие дополнительные действия нужно сделать Письмо сохраненное прикладываю Сообщение от модератора Mark D. Pearlstone Файл удалён. Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 1 июня, 2014 Share Опубликовано 1 июня, 2014 Подскажите есть ли шанс расшифровать Без шансов. какие дополнительные действия нужно сделать Сделать логи по правилам. Цитата Ссылка на сообщение Поделиться на другие сайты
maxspb 0 Опубликовано 1 июня, 2014 Автор Share Опубликовано 1 июня, 2014 Прикладываю логи virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 1 июня, 2014 Share Опубликовано 1 июня, 2014 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\Users\alina\AppData\Roaming\gnupg\*',''); QuarantineFile('C:\Windows\Temp\TS_81E2.tmp',''); QuarantineFile('C:\Users\alina\appdata\local\temp\svchost.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.После выполнения скрипта компьютер перезагрузится.Для создания архива с карантином выполните скрипт:begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end.Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).В строке "Электронный адрес:" укажите адрес своей электронной почты.Полученный ответ сообщите в этой теме. Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 1 июня, 2014 Share Опубликовано 1 июня, 2014 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteAVUpdate; ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\Users\alina\appdata\local\temp\svchost.exe',''); QuarantineFile('C:\Users\alina\AppData\Local\Temp\svchost.exe',''); DeleteFile('C:\Users\alina\AppData\Local\Temp\svchost.exe','32'); DeleteFile('C:\Users\alina\appdata\local\temp\svchost.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Что в этой папке? 2014-05-26 12:20:25 ----D---- C:\Users\alina\AppData\Roaming\gnupg Сделайте новые логи AVZ Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\LogsФайл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве Цитата Ссылка на сообщение Поделиться на другие сайты
maxspb 0 Опубликовано 1 июня, 2014 Автор Share Опубликовано 1 июня, 2014 Добрый день, Скрипты выполнил, запрос отправил. В папке gnupg - файлы с расширением .gpg и gpg.lock в одном из них (pubring.gpg есть кусок текста c unstyx и тд ). Логи + файл карантина + архив папки gnupg приложил. virusinfo_syscheck.zipMBAM-log-2014-06-01 (18-26-34).txt Сообщение от модератора Mark D. Pearlstone Не выкладывайте то, что не просят. Лишние файлы удалены Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 1 июня, 2014 Share Опубликовано 1 июня, 2014 (изменено) В MBAM удалите только эту запись: Обнаруженные файлы: c:\windows\system32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято. Папка C:\Users\alina\AppData\Roaming\gnupg От легальной программы GnuPG (http://ru.wikipedia.org/wiki/GnuPG), которую использовали для шифрования файлов. Можете удалить ее т.к. в ней нет приватного ключа, который мог бы помочь в расшифровке файлов. Изменено 1 июня, 2014 пользователем mike 1 Цитата Ссылка на сообщение Поделиться на другие сайты
maxspb 0 Опубликовано 2 июня, 2014 Автор Share Опубликовано 2 июня, 2014 Добрый день, В одной из папок нашел файл KEY.PRIVATE - не знаю поможет ли, но на всякий случай прилагаю. Случайно обратил внимание на то, что у всех зашифрованных файлов совпадают первые несколько байт. С надеждой что это как то поможет прикладываю пару файлов. Возможно смогу найти и оригиналы файлов, если нужно... KEY.PRIVATE.zipfiles.rar Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 2 июня, 2014 Share Опубликовано 2 июня, 2014 Это вы нашли открытый RSA ключ он ни чем не поможет. Без закрытого ключа RSA файлы расшифровать нельзя. Поэтому без шансов. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
qwect 2 Опубликовано 16 июня, 2014 Share Опубликовано 16 июня, 2014 Здравствуйте, похожая ситуация с зашифрованными файлами. Подскажите, пожалуйста, не решена ли проблема на данный момент. Требуют 100 евро. Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 16 июня, 2014 Share Опубликовано 16 июня, 2014 qwect ответ дан в 9 сообщении если у вас тоже самое. Цитата Ссылка на сообщение Поделиться на другие сайты
qwect 2 Опубликовано 16 июня, 2014 Share Опубликовано 16 июня, 2014 платить... подскажите, возможно ли заплатить, получить необходимое для расшифровки, а затем отозвать платёж? Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 16 июня, 2014 Share Опубликовано 16 июня, 2014 возможно ли заплатить, получить необходимое для расшифровки, а затем отозвать платёж? Думаю автор шифратора не дурак чтобы сразу выслать секретную часть ключа. 2 Цитата Ссылка на сообщение Поделиться на другие сайты
nail4u2 0 Опубликовано 18 июня, 2014 Share Опубликовано 18 июня, 2014 Только не вздумайте платить. Парни сначала участливо переписываются, когда доходит до подтверждения получения средств - отвечают что средств не получали и перестают отвечать. Будьте аккуратнее. Цитата Ссылка на сообщение Поделиться на другие сайты
Андрей 644 Опубликовано 18 июня, 2014 Share Опубликовано 18 июня, 2014 платить... подскажите, возможно ли заплатить, получить необходимое для расшифровки, а затем отозвать платёж? В некоторых ситуациях, полученный платеж можно отозвать. Смотря какие возможности у вашего банка. Я в своем например могу отозвать по причине "не получена оплаченная услуга". В Вашем случае злоумышленник не смог бы доказать обратное... Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.