Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Доброго времени суток! Необходима помощь! Вирус изменил расширения всех файлов фотографий *.jpg на *.jpg.lzwtrfa.


 


В каждой папке такой меседж (см. файл во вложении):


 


Your documents, photos, databases and other important files have been encrypted

with strongest encryption and unique key, generated for this computer.

 

Private decryption key is stored on a secret Internet server and nobody can

decrypt your files until you pay and obtain the private key.

 

If you see the main locker window, follow the instructions on the locker.

Overwise, it's seems that you or your antivirus deleted the locker program.

Now you have the last chance to decrypt your files.

 


in your browser. They are public gates to the secret server. 

 

If you have problems with gates, use direct connection:

 

1. Download Tor Browser from http://torproject.org

 

2. In the Tor Browser open the http://uw2kdu43jtxssofz.onion/

   Note that this server is available via Tor Browser only. 

   Retry in 1 hour if site is not reachable.

 

Copy and paste the following public key in the input form on server. Avoid missprints.

YCHTTE-LPVMNY-G5RUWK-A75PH6-U22U3C-LUMXYZ-VCBTU5-E7AJIF

2UBMZX-HA2JZV-AF4UJ7-XETSRY-P353GC-U2QMMP-EWKWZK-PSQUYJ

2B45UO-74HXO2-TBA6BE-RYOYD7-ZJLT5T-YCPDZV-ENFNGB-76LSTN

 

Follow the instructions on the server.

 

Сообщение от модератора Mark D. Pearlstone
Не создавайте одинаковые темы в разных разделах.

Decrypt All Files lzwtrfa.txt

Опубликовано

Сообщение от модератора Mark D. Pearlstone
@Lollli, не создавайте одинаковые темы в разных разделах.
  • Согласен 1
Опубликовано
Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;

QuarantineFile('C:\Users\Алена\appdata\local\systemdir\setsearchm.exe','');
QuarantineFileF('C:\Users\Алена\appdata\local\systemdir', '*.*', true,'', 0, 0, '', '');
 QuarantineFile('C:\Users\Алена\appdata\local\pay-by-ads\yahoo! search\1.3.12.4\dsrsetup.exe','');
 QuarantineFile('C:\Program Files\DiscountFrenzy\DiscountFrenzy-firefoxinstaller.exe','');
 QuarantineFile('C:\Program Files\DiscountFrenzy\DiscountFrenzy-updater.exe','');
 QuarantineFile('C:\Program Files\DiscountFrenzy\DiscountFrenzy-enabler.exe','');
 QuarantineFile('C:\Program Files\DiscountFrenzy\DiscountFrenzy-codedownloader.exe','');
 QuarantineFile('C:\Program Files\DiscountFrenzy\DiscountFrenzy-chromeinstaller.exe','');
 DelBHO('{7CE987D5-11B3-44FC-9C3D-03069360D462}');
 DelBHO('{F23E2FD6-D25D-4C52-8669-2B9C0133D6EE}');
 DelBHO('{BC626543-18E2-404A-ACD4-046A70C61A16}');
 QuarantineFile('C:\Program Files\Аудио и видео скачивание\IE\x86\Downloader.dll','');
 DelBHO('{3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6}');
 DelBHO('{30473081-6236-4521-B7E2-CAC6464CF145}');
 QuarantineFile('C:\Program Files\BitMasterPlugin\KangoBHO.dll','');
 DelBHO('{1FE48F08-A2AC-44AC-A21C-0556D91C50DA}');
 QuarantineFile('C:\Users\Алена\AppData\Roaming\newnext.me\nengine.dll','');
 QuarantineFile('C:\Users\Алена\AppData\Local\Kometa\kometaup.exe','');
 QuarantineFile('C:\Program Files\Browser Tab Search by Ask\SafetyNut\configmgrc1.cfg','');
 DeleteService('F06DEFF2-5B9C-490D-910F-35D3A91196222');
 SetServiceStart('{696697c2-0537-45bd-b3da-9e80a9e05283}w', 4);
 DeleteService('{696697c2-0537-45bd-b3da-9e80a9e05283}w');
 SetServiceStart('{21c63c07-3dae-48cc-95ab-ff9287f82f6b}w', 4);
 DeleteService('{21c63c07-3dae-48cc-95ab-ff9287f82f6b}w');
 SetServiceStart('{21c63c07-3dae-48cc-95ab-ff9287f82f6b}Gw', 4);
 DeleteService('{21c63c07-3dae-48cc-95ab-ff9287f82f6b}Gw');
 SetServiceStart('{0d8ebb32-9b35-4142-a825-b70830c7b6ef}w', 4);
 DeleteService('{0d8ebb32-9b35-4142-a825-b70830c7b6ef}w');
 SetServiceStart('Update Service for VK Downloader', 4);
 DeleteService('Update Service for VK Downloader');
 SetServiceStart('Update Service for advPlugin', 4);
 DeleteService('Update Service for advPlugin');
 QuarantineFile('C:\Windows\system32\drivers\{cd6aa099-9072-44f1-a840-a5e78bf30cd8}w.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{696697c2-0537-45bd-b3da-9e80a9e05283}w.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{21c63c07-3dae-48cc-95ab-ff9287f82f6b}w.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{21c63c07-3dae-48cc-95ab-ff9287f82f6b}Gw.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{0d8ebb32-9b35-4142-a825-b70830c7b6ef}w.sys','');
 QuarantineFile('C:\Users\Алена\AppData\Local\Kometa\Application\39.0.2171.95\chrome.dll','');
 QuarantineFile('C:\Users\Алена\AppData\Local\Kometa\Application\39.0.2171.95\chrome_child.dll','');
 QuarantineFile('C:\Users\Алена\AppData\Local\Kometa\Application\39.0.2171.95\kometa-client-util.dll','');
 QuarantineFile('C:\Program Files\advPlugin\Toolbar32.dll','');
 QuarantineFile('C:\Program Files\advPlugin\Interfaces32.dll','');
 TerminateProcessByName('c:\users\Алена\appdata\local\kometa\application\kometa.exe');
 QuarantineFile('c:\users\Алена\appdata\local\kometa\application\kometa.exe','');
 TerminateProcessByName('c:\program files\vk downloader\basement\extensionupdaterservice.exe');
 QuarantineFile('c:\program files\vk downloader\basement\extensionupdaterservice.exe','');
 TerminateProcessByName('c:\program files\advplugin\basement\extensionupdaterservice.exe');
 QuarantineFile('c:\program files\advplugin\basement\extensionupdaterservice.exe','');
 TerminateProcessByName('C:\Program Files\advPlugin\BackgroundSingleton.exe');
 QuarantineFile('C:\Program Files\advPlugin\BackgroundSingleton.exe','');
 TerminateProcessByName('c:\program files\advplugin\backgroundsingleton.exe');
 QuarantineFile('c:\program files\advplugin\backgroundsingleton.exe','');
 TerminateProcessByName('c:\program files\vk downloader\backgroundsingleton.exe');
 QuarantineFile('c:\program files\vk downloader\backgroundsingleton.exe','');
 DeleteFile('c:\program files\vk downloader\backgroundsingleton.exe','32');
 DeleteFile('c:\program files\advplugin\backgroundsingleton.exe','32');
 DeleteFile('C:\Program Files\advPlugin\BackgroundSingleton.exe','32');
 DeleteFile('c:\program files\advplugin\basement\extensionupdaterservice.exe','32');
 DeleteFile('c:\program files\vk downloader\basement\extensionupdaterservice.exe','32');
 DeleteFile('c:\users\Алена\appdata\local\kometa\application\kometa.exe','32');
 DeleteFile('C:\Program Files\advPlugin\Interfaces32.dll','32');
 DeleteFile('C:\Program Files\advPlugin\Toolbar32.dll','32');
 DeleteFile('C:\Users\Алена\AppData\Local\Kometa\Application\39.0.2171.95\kometa-client-util.dll','32');
 DeleteFile('C:\Users\Алена\AppData\Local\Kometa\Application\39.0.2171.95\chrome_child.dll','32');
 DeleteFile('C:\Users\Алена\AppData\Local\Kometa\Application\39.0.2171.95\chrome.dll','32');
 DeleteFile('C:\Windows\system32\drivers\{0d8ebb32-9b35-4142-a825-b70830c7b6ef}w.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{21c63c07-3dae-48cc-95ab-ff9287f82f6b}Gw.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{21c63c07-3dae-48cc-95ab-ff9287f82f6b}w.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{696697c2-0537-45bd-b3da-9e80a9e05283}w.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{cd6aa099-9072-44f1-a840-a5e78bf30cd8}w.sys','32');
 DeleteFile('C:\Program Files\Browser Tab Search by Ask\SafetyNut\configmgrc1.cfg','32');
 DeleteFile('C:\Users\Алена\AppData\Local\Amigo\Application\amigo.exe','32');
 DeleteFile('C:\Users\Алена\AppData\Local\Amigo\Application\ok.exe','32');
 DeleteFile('C:\Users\Алена\AppData\Local\Amigo\Application\vk.exe','32');
 DeleteFile('C:\Users\Алена\AppData\Local\Kometa\kometaup.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kometaup');
 DeleteFile('C:\Users\Алена\AppData\Local\Temp\_uninst_23732923.bat','32');
 DeleteFile('C:\Users\Алена\AppData\Roaming\newnext.me\nengine.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive','command');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','cnpaoouinx');
 DeleteFile('C:\Program Files\BitMasterPlugin\KangoBHO.dll','32');
 DeleteFile('C:\Program Files\Аудио и видео скачивание\IE\x86\Downloader.dll','32');
 DeleteFile('C:\Program Files\DiscountFrenzy\DiscountFrenzy-chromeinstaller.exe','32');
 DeleteFile('C:\Program Files\DiscountFrenzy\DiscountFrenzy-codedownloader.exe','32');
 DeleteFile('C:\Program Files\DiscountFrenzy\DiscountFrenzy-enabler.exe','32');
 DeleteFile('C:\Windows\Tasks\DiscountFrenzy-enabler.job','32');
 DeleteFile('C:\Windows\Tasks\DiscountFrenzy-codedownloader.job','32');
 DeleteFile('C:\Windows\Tasks\DiscountFrenzy-chromeinstaller.job','32');
 DeleteFile('C:\Windows\Tasks\DiscountFrenzy-firefoxinstaller.job','32');
 DeleteFile('C:\Windows\Tasks\DiscountFrenzy-updater.job','32');
 DeleteFile('C:\Program Files\DiscountFrenzy\DiscountFrenzy-updater.exe','32');
 DeleteFile('C:\Program Files\DiscountFrenzy\DiscountFrenzy-firefoxinstaller.exe','32');
 DeleteFile('C:\Program Files\PC Performer\PCPerformer.exe','32');
 DeleteFile('C:\Windows\Tasks\PC Performer_DEFAULT.job','32');
 DeleteFile('C:\Windows\Tasks\PC Performer_UPDATES.job','32');
 DeleteFile('C:\Windows\system32\Tasks\DiscountFrenzy-chromeinstaller','32');
 DeleteFile('C:\Windows\system32\Tasks\DiscountFrenzy-codedownloader','32');
 DeleteFile('C:\Windows\system32\Tasks\DiscountFrenzy-enabler','32');
 DeleteFile('C:\Windows\system32\Tasks\DiscountFrenzy-firefoxinstaller','32');
 DeleteFile('C:\Windows\system32\Tasks\DiscountFrenzy-updater','32');
 DeleteFile('C:\Windows\system32\Tasks\PC Performer_DEFAULT','32');
 DeleteFile('C:\Windows\system32\Tasks\PC Performer_UPDATES','32');
 DeleteFile('C:\Users\Алена\appdata\local\pay-by-ads\yahoo! search\1.3.12.4\dsrsetup.exe','32');
 DeleteFile('C:\Users\Алена\appdata\local\systemdir\setsearchm.exe','32');

DeleteFileMask('C:\Users\Алена\appdata\local\systemdir', '*', true);
DeleteDirectory('C:\Users\Алена\appdata\local\systemdir');
DeleteFileMask('C:\Users\Алена\appdata\local\pay-by-ads', '*', true);
DeleteDirectory('C:\Users\Алена\appdata\local\pay-by-ads');
DeleteFileMask('C:\Users\Алена\AppData\Local\Amigo', '*', true);
DeleteDirectory('C:\Users\Алена\AppData\Local\Amigo');
DeleteFileMask('C:\Program Files\Аудио и видео скачивание', '*', true);
DeleteDirectory('C:\Program Files\Аудио и видео скачивание');
DeleteFileMask('C:\Program Files\Browser Tab Search by Ask', '*', true);
DeleteDirectory('C:\Program Files\Browser Tab Search by Ask');

DeleteFileMask('c:\program files\advplugin', '*', true);
DeleteDirectory('c:\program files\advplugin');
DeleteFileMask('C:\Program Files\DiscountFrenzy', '*', true);
DeleteDirectory('C:\Program Files\DiscountFrenzy');
DeleteFileMask('C:\Users\Алена\AppData\Local\Kometa', '*', true);
DeleteDirectory('C:\Users\Алена\AppData\Local\Kometa');
 BC_ImportAll;



ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 


Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 


Сделайте новые логи
Опубликовано

 Как вернуть (или восстановить) файлы фото и их прежнее расширение??? Это очень важно.

Все сделала. Получила такой ответ:

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

mail_ru_attachments.htm

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

 

CollectionLog-2015.01.17-12.57.zip

Опубликовано

С расшифровкой не поможем

 

Удалите вручную

C:\Users\Алена\AppData\Roaming\advPlugin

C:\Users\Алена\AppData\Roaming\VK Downloader
C:\Program Files\VK Downloader

 

Опубликовано

 

С расшифровкой не поможем

 

Удалите вручную

C:\Users\Алена\AppData\Roaming\advPlugin

C:\Users\Алена\AppData\Roaming\VK Downloader
C:\Program Files\VK Downloader

 

 

К кому можно обратиться с расшифровкой? Это в принципе возможно?

Как вернуть (или восстановить) файлы фото и их прежнее расширение? Кто может это сделать?

Опубликовано

Пока ни один из вирлабов не поможет

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • mibds
      Автор mibds
      Здравствуйте. 
       
      Значит все по стандарту.
       
      Секретарше прислали письмо на почту, со вложенным архивом "Сообщение о задолженности". (Прикрепил к теме архив, переименовал в "осторожно вирус")
       
      В архиве скрипт *.js.  с названием "сообщение о задолженности"
       
      Девочка архив распаковала, файл попыталась открыть, скрипт видимо сработал и заблокировались все файлы excel (xls, xlsx) и word (doc).
       
      Вроде другие файлы не пострадали... но могу и не знать. Знаю точно что не пострадали PDF-файлы и те файлы где стояла галка "только чтение", но таких единицы к сожалению.
       
      Прикрепил для примера архив "несколько зашифрованных файлов для примера". Там 5 зашифрованных файлов, точно не скажу "доки" или "эксели".
       
      Прикрепил логи
       
      несколько зашифрованных файлов для примера.rar
      CollectionLog-2015.10.08-17.09.zip
    • AltayResort
      Автор AltayResort
      Добрый День!
       
      Получили по электроной почте файл с вирусом (прекреплен в скрепке) после открытия файла зашифровались файлы с расширением doc, xls
      Пример заражонного файла в скрепке, так же прекладываем логи собранные программной autologger.
       Учитывая финансовый характер заражонных файлов просьба помочь в расшифровке файлов как можно скорее
      Мы являемся владельцами корпоративной линцензии kaspersky endpoint security.
      С Уважением.
      ООО Алтай Резорт
       
    • nikolay_2009
      Автор nikolay_2009
      добрый день
      все фотки заблокированы и зашифрованы. 
      списывался с криптолокером. он дерзит и просит 15000р хотя и говорит что только рабочие компьютеры банит. выручайте.
      прикрепляю файлы из разных папок. "тела" вируса уже наверное нет. т.к. обратился за помощью к знакомому и он мне переустановил винду даже не активировав и файл логгера с вашего сайта. спасибо.  и фото почему то не загружаются((((. что делать? ни большие ни маленькие
      CollectionLog-2015.11.04-21.51.zip
    • big_boy840
      Автор big_boy840
      Есть расшифровщик или нет?
      У меня с такими же названиями maxcrypt@foxmail2.com файлы.
      Это значит, что расшифровщик его должен мне подойти?
    • Ердаулет
      Автор Ердаулет
      Вирус зашифровал все файлы в формат.bad зашифрованные файлы переместил в одну папку расшифровать не получается или я не правильно делаиу?
      CollectionLog-2015.10.20-00.47.zip
×
×
  • Создать...