Mavki 0 Опубликовано 9 октября, 2014 Share Опубликовано 9 октября, 2014 Приветствую! Вирус зашифровал самые распространенные файлы в AES256. Содержание файлы "ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt": Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты.TOR: https://www.torproject.org/ | Видео инструкция: url_1: http://y6kpyefykdvswxps.onion:4567/pay.htmlurl_2: http://gi3ruskskqzff2rw.onion:4567/pay.htmlHashKey: 301b189fcebca32e541e5feb9a430ac0ID: 19439 Прикладываю образцы зашифрованных файлов. CollectionLog-2014.10.09-21.52.zip example.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 9 октября, 2014 Share Опубликовано 9 октября, 2014 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFileF('%USERPROFILE%\appdata\roaming\mail.ru newgamest', '*', true, ' ', 0, 0); QuarantineFileF('%USERPROFILE%\AppData\Roaming\runWIN', '*', true, ' ', 0, 0); QuarantineFileF('%USERPROFILE%\AppData\Roaming\ICL', '*', true, ' ', 0, 0); QuarantineFileF('%USERPROFILE%\AppData\Roaming\GemWare', '*', true, ' ', 0, 0); QuarantineFileF('%USERPROFILE%\AppData\Roaming\Microsoft DB', '*', true, ' ', 0, 0); QuarantineFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe',''); DeleteFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32'); DeleteFileMask('%USERPROFILE%\appdata\roaming\mail.ru newgamest', '*', true, ' '); DeleteFileMask('%USERPROFILE%\AppData\Roaming\runWIN', '*', true, ' '); DeleteFileMask('%USERPROFILE%\AppData\Roaming\ICL', '*', true, ' '); DeleteFileMask('%USERPROFILE%\AppData\Roaming\GemWare', '*', true, ' '); DeleteFileMask('%USERPROFILE%\AppData\Roaming\Microsoft DB', '*', true, ' '); DeleteDirectory('%USERPROFILE%\appdata\roaming\mail.ru newgamest'); DeleteDirectory('%USERPROFILE%\AppData\Roaming\runWIN'); DeleteDirectory('%USERPROFILE%\AppData\Roaming\ICL'); DeleteDirectory('%USERPROFILE%\AppData\Roaming\GemWare'); DeleteDirectory('%USERPROFILE%\AppData\Roaming\Microsoft DB'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать). R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://oreshki-news.net/?source=ic O4 - HKCU\..\Run: [baidu] C:\Program Files (x86)\baidu\BindEx.exe Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе Распакуйте архив с утилитой в отдельную папку Запустите FixerBroОбратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да В главном окне программы нажмите на кнопку "Проверить" Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt) По окончанию сканирования нажмите на кнопку "Отчет". Сохраните лог утилиты Прикрепите сохраненный отчет в вашей теме. Скачайте ComboFix здесь и сохраните в корень диска С. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe Подробнее в "ComboFix. Руководство по применению." 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Mavki 0 Опубликовано 9 октября, 2014 Автор Share Опубликовано 9 октября, 2014 quarantine.zip пустой. Остальные логи прикладываю. ComboFix.txt FixerBro_20141009.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 9 октября, 2014 Share Опубликовано 9 октября, 2014 Исправьте следующие ярлыки в FixerBro ================================ [ Ярлыки ] ================================= C:\Users\Вика\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat "http://oreshki-news.net/?source=ic] C:\Users\Вика\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat "http://oreshki-news.net/?source=ic] C:\Users\Вика\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Firefox.lnk [C:\Program Files (x86)\Mozilla Firefox\firefox.exe.bat "http://oreshki-news.net/?source=ic] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk [C:\Program Files (x86)\Mozilla Firefox\firefox.exe.bat "http://oreshki-news.net/?source=ic] ============================================================================= Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. KillAll:: File:: c:\windows\system32\drivers\BDMWrench.sys c:\windows\system32\drivers\BDArKit.sys c:\windows\system32\bd64_x64.dll c:\windows\system32\bd64_x86.dll c:\windows\system32\drivers\bd0001.sys c:\windows\system32\drivers\BDMWrench_x64.sys c:\windows\system32\drivers\BDSafeBrowser.sys c:\windows\system32\drivers\bd0004.sys Driver:: BDMWrench_x64 BDSafeBrowser bd0004 BDMWrench BDArKit BDSGRTP NetSvc:: Folder:: c:\programdata\Baidu Registry:: FileLook:: DirLook:: RegLock:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению. + скачайте OSAM установите. запустите. дождитесь окончания сканирования. вверху слева нажмите Save Log полученный лог osam.html прикрепите к новому сообщению. 2 Цитата Ссылка на сообщение Поделиться на другие сайты
Mavki 0 Опубликовано 9 октября, 2014 Автор Share Опубликовано 9 октября, 2014 Прикрепляю два лога. ComboFix.txt osam.html Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 9 октября, 2014 Share Опубликовано 9 октября, 2014 Command switches used :: c:\users\Tшър\Desktop\CFScript.txt Сохраните скрипт из 4 сообщения сначала на диск С, а потом перетащите его на иконку с Combofix. Цитата Ссылка на сообщение Поделиться на другие сайты
Mavki 0 Опубликовано 9 октября, 2014 Автор Share Опубликовано 9 октября, 2014 Прикрепляю лог с диска С ComboFix2.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 9 октября, 2014 Share Опубликовано 9 октября, 2014 Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С. KillAll:: File:: Driver:: Folder:: c:\programdata\Baidu Registry:: FileLook:: DirLook:: Reboot:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 10 октября, 2014 Share Опубликовано 10 октября, 2014 + повторите для контроля лог OSAM. Цитата Ссылка на сообщение Поделиться на другие сайты
Mavki 0 Опубликовано 10 октября, 2014 Автор Share Опубликовано 10 октября, 2014 Прикрепляю два лога. ComboFix3.txt osam2.html Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 10 октября, 2014 Share Опубликовано 10 октября, 2014 Папку эту c:\programdata\Baidu удалите вручную. Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt, запустите, нажмите Clean up Цитата Ссылка на сообщение Поделиться на другие сайты
Mavki 0 Опубликовано 10 октября, 2014 Автор Share Опубликовано 10 октября, 2014 Папку эту c:\programdata\Baidu удалите вручную. Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt, запустите, нажмите Clean up Готово. Нужны еще какие-то логи? Возможно ли будет мне расшифровать файлы? Утилиту от КЛ пробовал, пароль не подходит. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 10 октября, 2014 Share Опубликовано 10 октября, 2014 Больше помочь нечем Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 16 октября, 2014 Share Опубликовано 16 октября, 2014 Mavki HashKey: 301b189fcebca32e541e5feb9a430ac0 ID: 19439 Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 16 октября, 2014 Share Опубликовано 16 октября, 2014 Внимание! Данный дешифратор предназначен только для пользователя MavkiВо избежание окончательной потери информации использовать данный дешифратор другим пострадавшим не рекомендуется Перед использованием дешифратора рекомендуется сделать резервную копию всех зашифрованных файлов. Дешифратор Принцип работы с дешифратором: 1. Сохраните дешифратор в отдельную созданную папку. 2. Сохраните прикрепленное вложение в папку с дешифратором. Распакуйте архив с ключом. Запустите сам дешифратор и дождитесь окончания процесса работы дешифратора. key.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.