Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

файлы зашифрованны

dmn001
 Поделиться

Рекомендуемые сообщения

dmn001

dmn001

Опубликовано
Опубликовано (изменено)

Здравствуйте, со слов пользователя запустил что-то из почты..... После этого все файлы с данными оказались зашифрованны. К именам файлов добавилось .zimflsi Изменение расширения не помагает. Никаких требований, ни в текстовых файлах ни на экране не наблюдается. Лог прилогаю, примеры файлов тоже и файл который возможно был открыт из почты и привел к изменению файлов (Virus_hyperphagia.zip).

Заранее спасибо, Дмитрий.

 

 

Сообщение от модератора
Карантин из темы удален

CollectionLog-2015.01.20-14.47.zip

files.zip

Изменено пользователем thyrex
Карантин в теме.
mike 1

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin    

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

  then

   begin

    SearchRootkit(true, true);

    SetAVZGuardStatus(true);

   end;

 ClearQuarantine;

 QuarantineFile('C:\Windows\system32\regedit.exe','');

 QuarantineFile('C:\Users\PEP\AppData\Roaming\msxte.exe','');

 DeleteFile('C:\Users\PEP\AppData\Roaming\msxte.exe','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1377661786');

 DeleteFile('C:\Windows\system32\regedit.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');  

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(false);

end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 




O4 - HKLM\..\Run: [Regedit32] C:\Windows\system32\regedit.exe

O4 - HKCU\..\Run: [1377661786] C:\Users\PEP\AppData\Roaming\msxte.exe


 

 

Сделайте новые логи Автологгером. 

 

dmn001

dmn001

Опубликовано
  • Автор
Опубликовано

Три раза отправлял файл в лабораторю и с паролем и без пишут что файл не доходит, остальное сделал:

 

Сообщение от модератора Mark D. Pearlstone
Не выкладывайте карантин на форум. Файл удалён.

CollectionLog-2015.01.20-16.03.zip

hijackthis.log

dmn001

dmn001

Опубликовано
  • Автор
Опубликовано

Спасибо. Но меня как раз интерисует именно расшифровка файлов. Поиск в интернете ни по расширению (возможно оно произвольное), ни по описанию ничего не дал. Использование утилит  типа RectorDecryptor без ключей тоже не помагает, нет даже именно названия вируса который это наделал. На машине были найдены Trojan-Downloader.Win32.Cabby.cbtu и Trojan.Win32.Fsysna.aynr , но насколько я понимаю они файлы не изменяют.

Вот и прошу если не можете помочь именно с расшифровкой, то подсказкой, может что-то похожее было или там ключи запуска для RectorDecryptor есть, или хотябы как найти название того что это натворило, может они не крипто программой зашифрованны,  а просто байт какой нибуть изменен.

Заранее спасибо, Дмитрий

mike 1

mike 1

Опубликовано
Опубликовано (изменено)

 

 

Вот и прошу если не можете помочь именно с расшифровкой, то подсказкой, может что-то похожее было или там ключи запуска для RectorDecryptor есть, или хотябы как найти название того что это натворило, может они не крипто программой зашифрованны,  а просто байт какой нибуть изменен.

Увы, но без шансов. Файлы зашифрованы при помощи CTB Locker и техподдержка ЛК вам тоже не поможет. Почаще делайте бекапы. ;)

Изменено пользователем mike 1
mike 1

mike 1

Опубликовано
Опубликовано

Бекапы ценной информации почаще делайте, а вообще лучше будет,  если персонал хоть немного обучат азам информационной безопасности. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • AA1895
      расшифровка вирусных файлов keybtc@foxmail2.com
      Автор AA1895
      Здравствуйте! На почту пришло письмо - в приложении о судебной повестке. После открытия сработал шифровальщик  и все данные зашифровал! В приложении письмо вымогателей. Как можно расшифровать.
      Заранее огромное спасибо!
       

      Сообщение от модератора Nark D. Pearlstone Если письмо понадобится, то вас попросят его прикрепить. В данный момент файл удалён.
    • Wildo
      Зашифрованы файлы
      Автор Wildo
      Та же проблема!Помогите пожалуйста.Делал все по комментариям,как вы писали.
      KLAN-2544242696
      Здравствуйте,
      Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

      quarantine.zip

      Этот файл повреждён.

      С уважением, Лаборатория Касперского

      "125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"
       

      Сообщение от модератора "Mark D. Pearlstone" Перенесено из темы
    • LelyaZ
      Вирус изменил расширения файлов и изображений
      Автор LelyaZ
      Здравствуйте!
      Скачала файл с вирусом, после чего все файлы и изображения теперь не открываются, указано: Приложение MS-DOS, и в названиях файлов появилось .id-4378333746_xsmail@india, где id у почти везде разный. Файлы музыки и видео не изменились. 
      Прошу помочь расшифровать файлы.
      CollectionLog-2015.02.16-20.17.zip
    • goa.sar
      Вирус изменил расширение файлов на .qetputd
      Автор goa.sar
      По почте получил письмо, открыл после этого все файлы Майкрософт офис, .pdf и картинки формата .jpeg поменяли свое расширение на .qetputd
      CollectionLog-2015.02.05-23.26.zip
    • denuzl
      Шифровальщик
      Автор denuzl
      добрый день.  пользователю по электронной почте прислали файл с расширением ехе и не долго думая она его запустила. это оказался шифровальщик. теперь файлы с расширением .doc.id-****_paycrypt@inbox.com. есть ли возможность расшифровать.
      2015_02_03.rar
×
×
  • Создать...