Перейти к содержанию

Диск D зашифрован *CRY

1Влад1
 Поделиться

Рекомендуемые сообщения

1Влад1

1Влад1

Опубликовано
Опубликовано

Привет всем, помогите решить проблему. Ко всем файлам добавилось расширение *CRY. На рабочем столе появился ярлык  "Ваш консультант". Как расшифровать файлы на диске D? Лог с AutoLogger прикреплен ниже.

CollectionLog-2014.09.17-21.50.zip

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\ShopperPro\ShopperPro.exe','');
QuarantineFile('C:\Program Files\ShopperPro\updater.exe','');
QuarantineFile('C:\ProgramData\ShopperPro\spbihe.js','');
QuarantineFile('C:\Users\Ксюша\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SystemAutorun.exe','');
QuarantineFile('C:\Users\Ксюша\AppData\Roaming\system app\loader.exe','');
QuarantineFile('C:\Program Files\ShopperPro\JSDriver\1.37.0.202\jsdrv.sys','');
DeleteService('SPDRIVER_1.37.0.202');
DeleteFile('C:\Program Files\ShopperPro\JSDriver\1.37.0.202\jsdrv.sys','32');
DeleteFile('C:\Users\Ксюша\AppData\Roaming\system app\loader.exe','32');
DeleteFile('C:\Users\Ксюша\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SystemAutorun.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderLocker');
DeleteFile('C:\ProgramData\ShopperPro\spbihe.js','32');
DeleteFile('C:\Program Files\ShopperPro\updater.exe','32');
DeleteFile('C:\Program Files\ShopperPro\ShopperPro.exe','32');
DeleteFile('C:\Windows\system32\Tasks\ShopperPro','32');
DeleteFile('C:\Windows\system32\Tasks\ShopperProJSUpd','32');
Delete-File('C:\Windows\system32\Tasks\SPBIW_UpdateTask_Time_3537303635383538352d3437415a556c2a3223346c41','32');
DeleteFile('C:\Windows\system32\Tasks\SPDriver','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите в HiJack

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://myhome.vi-view.com/?type=hp&ts=1406435911&from=smt&uid=SAMSUNGXHD251HJ_S13QJ1NQ800942
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=dfd3c6aeb9cee669d1ddb6c8dd9ae3a7&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=dfd3c6aeb9cee669d1ddb6c8dd9ae3a7&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?win=141&clid=2151455
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://myhome.vi-view.com/?type=hp&ts=1406435911&from=smt&uid=SAMSUNGXHD251HJ_S13QJ1NQ800942
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://myhome.vi-view.com/web/?type=ds&ts=1406435911&from=smt&uid=SAMSUNGXHD251HJ_S13QJ1NQ800942&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://myhome.vi-view.com/web/?type=ds&ts=1406435911&from=smt&uid=SAMSUNGXHD251HJ_S13QJ1NQ800942&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://myhome.vi-view.com/?type=hp&ts=1406435911&from=smt&uid=SAMSUNGXHD251HJ_S13QJ1NQ800942
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://myhome.vi-view.com/web/?type=ds&ts=1406435911&from=smt&uid=SAMSUNGXHD251HJ_S13QJ1NQ800942&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://myhome.vi-view.com/web/?type=ds&ts=1406435911&from=smt&uid=SAMSUNGXHD251HJ_S13QJ1NQ800942&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=dfd3c6aeb9cee669d1ddb6c8dd9ae3a7&text=

 

Сделайте новые логи

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • madlab
      Зашифрованы диски
      Автор madlab
      На компьютере зашифрованы диски. В системе был установлен Kaspersky Small Office Security (сейчас он в системе не обнаруживается).
      При обращении к диску требуется ввести пароль.
      Системный диск не зашифрован. На нем встречаются файлы с расширением "ooo4ps".
      В архиве "UCPStorage.7z" есть зашифрованный (и, похоже, он же, но не зашифрованный) файл.
      Kaspersky Virus Removal Tool угроз не обнаружил.
      Есть ли возможность помочь?
      Спасибо.
      FRST.txt UCPStorage.7z
    • paradox197755
      Зашифрованы диски на сервере.
      Автор paradox197755
      Зашифрованы диски на сервере.

    • netsp1ke
      Вымогатели зашифровали диск
      Автор netsp1ke
      Your Files has Been locked and sensitive information has been stolen
      you have to pay in bitcoin to unlock your files and get decryption tool
      there is a seperate price for not publishing your sensitive data on internet
      there is no free decryption or no company that be able to help you recover your files ( but its ok to try if you willing to risk the price to go higher)
      contact our telegram for faster response but if you dont get answer after 24 hour contact our email
      You can have a little file test decryption or proof of people from your country who paid and got decryption
      Your Case ID:PO03W2ANGY4IL9
      Our telegram:https://t.me/Datarecovery99
      Our Email:princeondarkhorse34@gmail.com
      information.txt
      Как прикрепить зашифрованный файл?
    • niktnt
      Зашифрованы BitLocker не системные диски
      Автор niktnt
      Добрый день.
      Шифровальщик загрузился на сервер из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\.
      На предположительном компьютере-источнике зашифрован и диск C:\
      Файлы о выкупе продолжают создаваться при старте системы.
      Addition.txt FRST.txt virus_bitlocker.zip
    • sss28.05.2025
      Зашифрованы BitLocker не системные диски/
      Автор sss28.05.2025
      Добрый день.
      Зловред залетел моментом на многие сервера по спику из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\
      вложил файл PLEASE READ.txt PLEASE READ_пароль_1111.7z на рабочий стол пользователя под которым попал на сервер.
      На одном из серверов удалось поймать файл в C:\Users\%username%\Documents\vc.txtvc_пароль_1111.7z
      Пособирал файлики которые менялись на компе в момент атаки - может чем-то поможет для анализа_файлы которые изменились в момент доступа_злодея_пароль_1111.7z
       
       
       
      PLEASE READ_пароль_1111.7z
×
×
  • Создать...