Файлы зашифрованы фантомасом

[Vovinski]

Здравствуйте! Вчера на почту пришло сообщение с вложением, его открыли, после чего все файлы зашифровались с ключом на конце 

 

-----.docx.id-{XQNTBGCIVJOTQFBXLRWTXCIWBXUZNLHDROTR-16.10.2014 14@07@109136940}-email-fantomass1998@gmail.com_masfantomas@onionmail.in-ver-4.1.1.0

 

в папке прграм файлз есть папка rarlabs в ней похоже находится кодировщик, я его тоже прикрепляю в архиве. файл codec.exe его мой касперский распознал как Trojan-Ransom.Win32.Cryakl.bo 

 

можно ли попытаться расшифровать документы? спасибо!

 

 

и еще пример зашифрованного файла

и тот же документ но незашифрованный

CollectionLog-2014.10.17-10.06.zipПолучение информации...

письмо.docx.id-XQNTBGCIVJOTQFBXLRWTXCIWBXUZNLHDROTR-16.10.2014 14@07@109136940-email-fantomass1998@gmail.com_masfantomas@onionmail.in-ver-4.1.1.0.rarПолучение информации...

письмо.docxПолучение информации...

[Roman_Five]

 

 

  Vovinski сказал:

в папке прграм файлз есть папка rarlabs в ней похоже находится кодировщик, я его тоже прикрепляю в архиве. файл codec.exe его мой касперский распознал как Trojan-Ransom.Win32.Cryakl.bo 

Строгое предупреждение от модератора Roman_Five

так делать нельзя.

 

вложение удалил.

[thyrex]

NetworkSafety App version 2.18 удалите через Установку программ

 

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\WinRar\codec.exe','');
QuarantineFileF('C:\Program Files\RarLab', '*.*', true,'', 0, 0, '', '');
DeleteFile('C:\Program Files\WinRar\codec.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\progrmma','command');
DeleteFileMask('C:\Program Files\RarLab', '*', true);
DeleteDirectory('C:\Program Files\RarLab');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

 

Список установленных расширений для браузеров напишите

[Vovinski]

  В 17.10.2014 в 06:21, thyrex сказал:

NetworkSafety App version 2.18 удалите через Установку программ

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\WinRar\codec.exe','');
QuarantineFileF('C:\Program Files\RarLab', '*.*', true,'', 0, 0, '', '');
DeleteFile('C:\Program Files\WinRar\codec.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\progrmma','command');
DeleteFileMask('C:\Program Files\RarLab', '*', true);
DeleteDirectory('C:\Program Files\RarLab');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

 

Список установленных расширений для браузеров напишите

 

 

KLAN-2074498210

 

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

 

codec.exe - Trojan-Ransom.Win32.Cryakl.bo

 

Детектирование файла будет добавлено в следующее обновление.

 

error.vbs,

NO_PWDS_report_16-10-2014_14-05-35-6F1D1445DAD951E885ACBAFE0C0D468F-KEAB.bin,

NO_PWDS_report_16-10-2014_14-05-55-6F1D1445DAD951E885ACBAFE0C0D468F-HDGN.bin,

oops.exe

 

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

 

С уважением, Лаборатория Касперского

И иожно ли попробовать расшифровать файлы, если есть кодек?

[Roman_Five]

 

 

  thyrex сказал:

Сделайте новые логи

 

 Список установленных расширений для браузеров напишите