Перейти к содержанию

Почти все файлы стали .AES256

zlobr
 Share

Рекомендуемые сообщения

zlobr Новичок

zlobr

Опубликовано
Опубликовано

Добрый день!

Дали посмотреть что стряслось с ноутом у подруги - там оказалось что всё файло зашифровано .AES256.

Она до этого зачем-то пыталась выполнить инструкции из этой темы на форуме, в надежде что они помогут.

Каковы мои дальнейшие действия? Лог автологгера прилагаю.

Заранее благодарен!

CollectionLog-2014.10.03-11.12.zip

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

сразу скажу, что расшифровать файлы без обращения к злоумышленникам в данный момент невозможно.
какой у подруги антивирус? C:\Program Files\ESET\ESET NOD32 Antivirus\ или C:\Program Files\AVAST Software\Avast\ ? Если avast! Premier, то надо удалить остатки второго.
http://kb.eset.com/esetkb/index?page=content&id=soln2289 (в безопасном режиме)

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Users\user\AppData\Local\Google\Chrome\Application\chrome.exe.bat','');
 QuarantineFileF('C:\Users\user\AppData\Roaming\ICL', '*', true, ' ', 0, 0);
 QuarantineFileF('C:\Users\user\AppData\Roaming\GemWare', '*', true, ' ', 0, 0);
 QuarantineFileF('C:\Users\user\AppData\Roaming\Microsoft DB', '*', true, ' ', 0, 0);
 QuarantineFileF('C:\extensions', '*', true, ' ', 0, 0);     
 DeleteFile('C:\Users\user\AppData\Local\Google\Chrome\Application\chrome.exe.bat','32');     
 DeleteFileMask('C:\extensions', '*', true, ' ');
 DeleteFileMask('C:\gmr_scripts', '*', true, ' ');
 DeleteDirectory('C:\extensions');     
 DeleteDirectory('C:\gmr_scripts');  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;  
RebootWindows(false);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1412235899&from=cor&uid=HitachiXHTS547550A9E384_120406J2350050E48V6DX
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1412235899&from=cor&uid=HitachiXHTS547550A9E384_120406J2350050E48V6DX
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1412235899&from=cor&uid=HitachiXHTS547550A9E384_120406J2350050E48V6DX
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1412235899&from=cor&uid=HitachiXHTS547550A9E384_120406J2350050E48V6DX&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1412235899&from=cor&uid=HitachiXHTS547550A9E384_120406J2350050E48V6DX&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1412235899&from=cor&uid=HitachiXHTS547550A9E384_120406J2350050E48V6DX
 
 

 

  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 
 

  • Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе
  • Распакуйте архив с утилитой в отдельную папку
  • Запустите FixerBro

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

  • В главном окне программы нажмите на кнопку "Проверить"
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)
  • По окончанию сканирования нажмите на кнопку "Отчет".
  • Сохраните лог утилиты
  • Прикрепите сохраненный отчет в вашей теме.
 
 
Ссылка на комментарий
Поделиться на другие сайты
zlobr Новичок

zlobr

Опубликовано
  • Автор
Опубликовано

Вот логи и заархивированные пара зашифрованных файлов.

Ответ лаборотории приложу когда он придёт.


Прикладываю ответ лаборотории.

AdwCleanerR0.txt

FixerBro_20141009.txt

0fI2Fe_dJmM.jpg.rar

Re VirLabSRFMalicious file analysisM1LNRUL0 KLAN-2041196829.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Clean" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!.
 
Подробнее читайте в этом руководстве.
 
С расшифровкой не сможем помочь. 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Leo_Pahomov
      расшифровка файлов
      От Leo_Pahomov
      Все файлы зашифрованы типом файла YAKRDXSNS
      DESKTOP-5B9SCJG_2025-02-21_17-43-06_v4.99.9v x64.7z
      Сообщение от модератора thyrex Темы объединены
    • Leo_Pahomov
      расшифровка файлов
      От Leo_Pahomov
      Все файлы зашифрованы типом файла YAKRDXSNS
      DESKTOP-5B9SCJG_2025-02-21_17-43-06_v4.99.9v x64.7z
      Сообщение от модератора thyrex Темы объединены
    • BeckOs
      Зашифрованы все файлы
      От BeckOs
      На компьютере зашифрованы все файлы. Атака была ночью 
      FRST.txt files.7z
    • BtrStr102
      Зашифрованы все файлы
      От BtrStr102
      Здравствуйте, утром зашёл в пк. Все файлы с разрешением AriSPiHDt. Удаляешь это окончание. Не открывает. Вес файлов не изменен.
       
      Антивирусы ничего не нашли.
       
       
       
       
       
       
       
       
    • timmonn
      Зашифрованы все файлы.
      От timmonn
      Здравствуйте, шифровальщик зашифровал все файлы и переименовал файлы "Примерфайла.xml.[ID-6F6D95A2].[blackdecryptor@gmail.com].9w8ww
      Не смог найти название этого шифровальщика чтоб поискать дешифровщик.
      Прошу помочь с расшифровкой.
      Addition.txt FRST.txt файлы.zip
×
×
  • Создать...