Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Вирус зашифровал файлы, расширение aes256

hogo
 Поделиться

Рекомендуемые сообщения

hogo Новичок

hogo

Опубликовано
Опубликовано

Меня не было дома и сестра за то время лазила по компьютеру. когда я пришел не мог запустить ни одной игры и все файлы были заблокированы и был установлен онлайн советчик

CollectionLog-2014.10.07-21.13.zip

ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.443\baiduprotect.exe');
 TerminateProcessByName('c:\program files (x86)\baidu\bindex.exe');
 SetServiceStart('BDSGRTP', 4);
 SetServiceStart('bd0001', 4);
 SetServiceStart('bd0004', 4);
 SetServiceStart('BDArKit', 4);
 SetServiceStart('BDSafeBrowser', 4);
 StopService('BDSGRTP');
 StopService('bd0001');
 StopService('bd0004');
 StopService('BDArKit');
 StopService('BDSafeBrowser');
 QuarantineFile('C:\Users\САНЬОК\AppData\Roaming\runWIN\update.exe','');
 QuarantineFile('C:\Users\САНЬОК\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
 QuarantineFile('C:\Users\САНЬОК\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','');
 QuarantineFile('C:\Program Files (x86)\baidu\BindEx.exe','');
 QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','');
 QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','');
 DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','32');
 DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','32');
 DeleteFile('C:\Users\САНЬОК\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32');
 DeleteFile('C:\Users\САНЬОК\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
 DeleteFile('C:\Users\САНЬОК\AppData\Roaming\runWIN\update.exe','32');
 DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\SafeBrowserDll.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\SafeExplorer.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\plugins\HIPS.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\plugins\BaiduRepair.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\dynplugins\AssistReportPlugin.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\DriverManager.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDMReport.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDMNet.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDLogicUtils.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDKitUtils.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\ad.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\7z.dll','32');
 DeleteFile('c:\program files (x86)\baidu\bindex.exe','32');
 DeleteFile('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.443\baiduprotect.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
 DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');
 DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32');
DeleteFileMask('C:\Users\САНЬОК\AppData\Roaming\Mail.RU NewGamesT\','* ',true ,' ');
DeleteFileMask('C:\Users\САНЬОК\AppData\Roaming\tor\','* ',true ,' ');
DeleteFileMask('C:\Users\САНЬОК\AppData\Roaming\Microsoft DB\','* ',true ,' ');
DeleteFileMask('C:\Users\САНЬОК\AppData\Roaming\Baidu\','* ',true ,' ');
DeleteFileMask('C:\ProgramData\Baidu\','* ',true ,' ');
DeleteFileMask('C:\Program Files (x86)\baidu\','* ',true ,' ');
DeleteFileMask('C:\Users\САНЬОК\AppData\Roaming\GemWare\','* ',true ,' ');
DeleteFileMask('C:\Users\САНЬОК\AppData\Roaming\Tor Project\','* ',true ,' ');
DeleteFileMask('C:\Users\САНЬОК\AppData\Roaming\ICL\','* ',true ,' ');
 DeleteDirectory('C:\Users\САНЬОК\AppData\Roaming\Mail.RU NewGamesT',' ');
 DeleteDirectory('C:\Users\САНЬОК\AppData\Roaming\tor',' ');
 DeleteDirectory('C:\Users\САНЬОК\AppData\Roaming\Microsoft DB',' ');
 DeleteDirectory('C:\Users\САНЬОК\AppData\Roaming\Baidu',' ');
 DeleteDirectory('C:\ProgramData\Baidu',' ');
 DeleteDirectory('C:\Program Files (x86)\baidu',' ');
 DeleteDirectory('C:\Users\САНЬОК\AppData\Roaming\GemWare',' ');
 DeleteDirectory('C:\Users\САНЬОК\AppData\Roaming\Tor Project',' ');
 DeleteDirectory('C:\Users\САНЬОК\AppData\Roaming\ICL',' ');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baidu');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');
 DeleteService('BDSGRTP');
 DeleteService('bd0001');
 DeleteService('bd0004');
 DeleteService('BDArKit');
 DeleteService('BDSafeBrowser');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.
Отправьте на проверку файл  Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://1kanal.org/?src=hp1
O4 - HKCU\..\Run: [LoaderSystemWIN] C:\Users\САНЬОК\AppData\Roaming\runWIN\Update.exe
O4 - HKCU\..\Run: [RuningWIN32] C:\Users\САНЬОК\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe
O4 - HKCU\..\Run: [baidu] C:\Program Files (x86)\baidu\BindEx.exe
O4 - HKCU\..\Run: [NewLoadSystemWIN32] C:\Users\САНЬОК\AppData\Roaming\runWIN\update.exe
O4 - HKCU\..\Run: [Encrypt] C:\Users\САНЬОК\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe
 
Сделайте новые логи по правилам.

 

+ приложите лог OSAM

скачайте OSAM

установите. запустите. дождитесь окончания сканирования.
вверху слева нажмите Save Log
полученный лог osam.html прикрепите к новому сообщению.
 
+ лог AdwCleaner
 
+ лог FixerBro
Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Запустите FixerBro.
В главном окне программы нажмите на кнопку "Проверить".
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt).
По окончанию сканирования нажмите на кнопку "Отчет".
Сохраните лог утилиты.
Прикрепите сохраненный отчет в вашей теме.
Ссылка на комментарий
Поделиться на другие сайты
  • 2 недели спустя...
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

Внимание! Данный дешифратор предназначен только для пользователя hogo


Во избежание окончательной потери информации использовать данный дешифратор другим пострадавшим не рекомендуется
 
Перед использованием дешифратора рекомендуется сделать резервную копию всех зашифрованных файлов.
 
Дешифратор
 
Принцип работы с дешифратором:
 
1. Сохраните дешифратор в отдельную созданную папку. 
 
2. Сохраните прикрепленное вложение в папку с дешифратором. Распакуйте архив с ключом. Запустите сам дешифратор и дождитесь окончания процесса работы дешифратора.

key.zip

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Артём Мельник
      not-a-virus:HEUR:AdWare.JS.ExtRedirect.gen чсто выскакивает этот вирус
      Автор Артём Мельник
      not-a-virus:HEUR:AdWare.JS.ExtRedirect.gen чсто выскакивает этот вирус
    • 4ikotillo
      Зашифрованы файлы на сетевом диске, расширение 4utjb34h
      Автор 4ikotillo
      Добрый день, обнаружил на своем сетевом хранилище зашифрованные файлы. Файлы были зашиврованы не во всех директориях, а только в тех у которых были права на вход пользователя guest. Я не нашел источник заразы, проверил все компьютеры дома, все чисто. Само шифрование длилось порядка 4 часов и не все файлы были зашиврованны. Видимо зараженное устройство только какое-то время было в моей сети. Прилагаю примеры зашиврованных файлов, мне известно только то что они все имею расширение 4utjb34h. Спасибо за любую помощь.
      4utjb34h.zip FRST.txt
    • Эдуард Autofresh
      Зашифровались файлы, ELPACO-TEAM
      Автор Эдуард Autofresh
      Зашифровались все файлы и компьютеры, которые имели общую сетевую папку с зараженным компьютером (3 штуки). На первом зараженном компьютере добавился новый пользователь, и разделился жесткий диск. На первом зараженном компьютере диспетчер задач не открывается. Файлы зараженные представлены в архиве.  Файл шифровальщика не нашел.
       



      FRST.rar
    • Freeman80S
      Поймал вирус-шифровальщик, переименовал все расширения файлов на *.Sauron
      Автор Freeman80S
      Пока катался по городу, сотрудница умудрилась поймать вирус, после этого слились данные "подключение к удаленному рабочему столу", я так понял далее тело из-за бугра залезо на сервер и переименовал все расширения файлов на окончание *.Sauron.
      Запустил все известные анти-вирусы, как итог ничего не находят. В файле требований два адреса: почта adm.helproot@gmail.com, телеграмм канал @adm_helproot, и предложение обменять деньги на биткоины и связаться с этими телами! Во вложении оценка системы и зашифрованные файлы. Буду благодарен! (пароль от архива virus)
      FRST.txt шифр файлы и требование.rar
    • ligiray
      Зашифровали файлы на ***.kasper
      Автор ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
×
×
  • Создать...