Vovinski Опубликовано 16 октября, 2014 Поделиться Опубликовано 16 октября, 2014 Здравствуйте! Вчера на почту пришло сообщение с вложением, его открыли, после чего все файлы зашифровались с ключом на конце -----.docx.id-{XQNTBGCIVJOTQFBXLRWTXCIWBXUZNLHDROTR-16.10.2014 14@07@109136940}-email-fantomass1998@gmail.com_masfantomas@onionmail.in-ver-4.1.1.0 в папке прграм файлз есть папка rarlabs в ней похоже находится кодировщик, я его тоже прикрепляю в архиве. файл codec.exe его мой касперский распознал как Trojan-Ransom.Win32.Cryakl.bo можно ли попытаться расшифровать документы? спасибо! и еще пример зашифрованного файла и тот же документ но незашифрованный CollectionLog-2014.10.17-10.06.zip письмо.docx.id-XQNTBGCIVJOTQFBXLRWTXCIWBXUZNLHDROTR-16.10.2014 14@07@109136940-email-fantomass1998@gmail.com_masfantomas@onionmail.in-ver-4.1.1.0.rar письмо.docx Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 17 октября, 2014 Поделиться Опубликовано 17 октября, 2014 в папке прграм файлз есть папка rarlabs в ней похоже находится кодировщик, я его тоже прикрепляю в архиве. файл codec.exe его мой касперский распознал как Trojan-Ransom.Win32.Cryakl.bo Строгое предупреждение от модератора Roman_Five так делать нельзя. вложение удалил. Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 17 октября, 2014 Поделиться Опубликовано 17 октября, 2014 NetworkSafety App version 2.18 удалите через Установку программ Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\WinRar\codec.exe',''); QuarantineFileF('C:\Program Files\RarLab', '*.*', true,'', 0, 0, '', ''); DeleteFile('C:\Program Files\WinRar\codec.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\progrmma','command'); DeleteFileMask('C:\Program Files\RarLab', '*', true); DeleteDirectory('C:\Program Files\RarLab'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму.1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи Список установленных расширений для браузеров напишите Ссылка на комментарий Поделиться на другие сайты Поделиться
Vovinski Опубликовано 20 октября, 2014 Автор Поделиться Опубликовано 20 октября, 2014 NetworkSafety App version 2.18 удалите через Установку программ Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\WinRar\codec.exe',''); QuarantineFileF('C:\Program Files\RarLab', '*.*', true,'', 0, 0, '', ''); DeleteFile('C:\Program Files\WinRar\codec.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\progrmma','command'); DeleteFileMask('C:\Program Files\RarLab', '*', true); DeleteDirectory('C:\Program Files\RarLab'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи Список установленных расширений для браузеров напишите KLAN-2074498210 Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика. codec.exe - Trojan-Ransom.Win32.Cryakl.bo Детектирование файла будет добавлено в следующее обновление. error.vbs, NO_PWDS_report_16-10-2014_14-05-35-6F1D1445DAD951E885ACBAFE0C0D468F-KEAB.bin, NO_PWDS_report_16-10-2014_14-05-55-6F1D1445DAD951E885ACBAFE0C0D468F-HDGN.bin, oops.exe Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию. С уважением, Лаборатория Касперского И иожно ли попробовать расшифровать файлы, если есть кодек? Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 20 октября, 2014 Поделиться Опубликовано 20 октября, 2014 Сделайте новые логи Список установленных расширений для браузеров напишите Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти