Почти все файлы стали .AES256

3 октября, 2014

Добрый день!

Дали посмотреть что стряслось с ноутом у подруги - там оказалось что всё файло зашифровано .AES256.

Она до этого зачем-то пыталась выполнить инструкции из этой темы на форуме, в надежде что они помогут.

Каковы мои дальнейшие действия? Лог автологгера прилагаю.

Заранее благодарен!

CollectionLog-2014.10.03-11.12.zip

3 октября, 2014

сразу скажу, что расшифровать файлы без обращения к злоумышленникам в данный момент невозможно.
какой у подруги антивирус? C:\Program Files\ESET\ESET NOD32 Antivirus\ или C:\Program Files\AVAST Software\Avast\ ? Если avast! Premier, то надо удалить остатки второго.
http://kb.eset.com/esetkb/index?page=content&id=soln2289 (в безопасном режиме)

3 октября, 2014

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Users\user\AppData\Local\Google\Chrome\Application\chrome.exe.bat','');
 QuarantineFileF('C:\Users\user\AppData\Roaming\ICL', '*', true, ' ', 0, 0);
 QuarantineFileF('C:\Users\user\AppData\Roaming\GemWare', '*', true, ' ', 0, 0);
 QuarantineFileF('C:\Users\user\AppData\Roaming\Microsoft DB', '*', true, ' ', 0, 0);
 QuarantineFileF('C:\extensions', '*', true, ' ', 0, 0);     
 DeleteFile('C:\Users\user\AppData\Local\Google\Chrome\Application\chrome.exe.bat','32');     
 DeleteFileMask('C:\extensions', '*', true, ' ');
 DeleteFileMask('C:\gmr_scripts', '*', true, ' ');
 DeleteDirectory('C:\extensions');     
 DeleteDirectory('C:\gmr_scripts');  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;  
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1412235899&from=cor&uid=HitachiXHTS547550A9E384_120406J2350050E48V6DX
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1412235899&from=cor&uid=HitachiXHTS547550A9E384_120406J2350050E48V6DX
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1412235899&from=cor&uid=HitachiXHTS547550A9E384_120406J2350050E48V6DX
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1412235899&from=cor&uid=HitachiXHTS547550A9E384_120406J2350050E48V6DX&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1412235899&from=cor&uid=HitachiXHTS547550A9E384_120406J2350050E48V6DX&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1412235899&from=cor&uid=HitachiXHTS547550A9E384_120406J2350050E48V6DX

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе

Распакуйте архив с утилитой в отдельную папку

Запустите FixerBro
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

В главном окне программы нажмите на кнопку "Проверить"

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)

По окончанию сканирования нажмите на кнопку "Отчет".

Сохраните лог утилиты

Прикрепите сохраненный отчет в вашей теме.

6 октября, 2014

Вас понял, жаль что с файла ми пролёт, но надо хотябы собрать логи, если это поможет общему делу. Спасибо! Сразу отпишу как-чего.

6 октября, 2014

Дополнительно пришлите несколько зашифрованных файлов для теста дешифратора.

9 октября, 2014

Вот логи и заархивированные пара зашифрованных файлов.

Ответ лаборотории приложу когда он придёт.

Прикладываю ответ лаборотории.

AdwCleanerR0.txt

FixerBro_20141009.txt

0fI2Fe_dJmM.jpg.rar

Re VirLabSRFMalicious file analysisM1LNRUL0 KLAN-2041196829.txt

9 октября, 2014

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Clean" и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.

Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!.

Подробнее читайте в этом руководстве.

С расшифровкой не сможем помочь.

16 октября, 2014

приложите ID и HashKey из сообщения злоумышленника.
есть шанс расшифровать файлы

Почти все файлы стали .AES256

Рекомендуемые сообщения

zlobr

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

zlobr

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

zlobr

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum