Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

файлы зашифрованны

dmn001
 Поделиться

Рекомендуемые сообщения

dmn001

dmn001

Опубликовано
Опубликовано (изменено)

Здравствуйте, со слов пользователя запустил что-то из почты..... После этого все файлы с данными оказались зашифрованны. К именам файлов добавилось .zimflsi Изменение расширения не помагает. Никаких требований, ни в текстовых файлах ни на экране не наблюдается. Лог прилогаю, примеры файлов тоже и файл который возможно был открыт из почты и привел к изменению файлов (Virus_hyperphagia.zip).

Заранее спасибо, Дмитрий.

 

 

Сообщение от модератора
Карантин из темы удален

CollectionLog-2015.01.20-14.47.zip

files.zip

Изменено пользователем thyrex
Карантин в теме.
mike 1

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin    

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

  then

   begin

    SearchRootkit(true, true);

    SetAVZGuardStatus(true);

   end;

 ClearQuarantine;

 QuarantineFile('C:\Windows\system32\regedit.exe','');

 QuarantineFile('C:\Users\PEP\AppData\Roaming\msxte.exe','');

 DeleteFile('C:\Users\PEP\AppData\Roaming\msxte.exe','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1377661786');

 DeleteFile('C:\Windows\system32\regedit.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');  

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(false);

end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 




O4 - HKLM\..\Run: [Regedit32] C:\Windows\system32\regedit.exe

O4 - HKCU\..\Run: [1377661786] C:\Users\PEP\AppData\Roaming\msxte.exe


 

 

Сделайте новые логи Автологгером. 

 

dmn001

dmn001

Опубликовано
  • Автор
Опубликовано

Три раза отправлял файл в лабораторю и с паролем и без пишут что файл не доходит, остальное сделал:

 

Сообщение от модератора Mark D. Pearlstone
Не выкладывайте карантин на форум. Файл удалён.

CollectionLog-2015.01.20-16.03.zip

hijackthis.log

dmn001

dmn001

Опубликовано
  • Автор
Опубликовано

Спасибо. Но меня как раз интерисует именно расшифровка файлов. Поиск в интернете ни по расширению (возможно оно произвольное), ни по описанию ничего не дал. Использование утилит  типа RectorDecryptor без ключей тоже не помагает, нет даже именно названия вируса который это наделал. На машине были найдены Trojan-Downloader.Win32.Cabby.cbtu и Trojan.Win32.Fsysna.aynr , но насколько я понимаю они файлы не изменяют.

Вот и прошу если не можете помочь именно с расшифровкой, то подсказкой, может что-то похожее было или там ключи запуска для RectorDecryptor есть, или хотябы как найти название того что это натворило, может они не крипто программой зашифрованны,  а просто байт какой нибуть изменен.

Заранее спасибо, Дмитрий

mike 1

mike 1

Опубликовано
Опубликовано (изменено)

 

 

Вот и прошу если не можете помочь именно с расшифровкой, то подсказкой, может что-то похожее было или там ключи запуска для RectorDecryptor есть, или хотябы как найти название того что это натворило, может они не крипто программой зашифрованны,  а просто байт какой нибуть изменен.

Увы, но без шансов. Файлы зашифрованы при помощи CTB Locker и техподдержка ЛК вам тоже не поможет. Почаще делайте бекапы. ;)

Изменено пользователем mike 1
mike 1

mike 1

Опубликовано
Опубликовано

Бекапы ценной информации почаще делайте, а вообще лучше будет,  если персонал хоть немного обучат азам информационной безопасности. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ника Александриди
      файлы зашифрованы! Помогите пожалуйста!
      Автор Ника Александриди
      Добрый день! Ребенок играл в майнкрафт онлайн и что-то скачивал. Потом обнаружила, что все файлы зашифрованы. А они очень нужны и важны. Помогите восстановить пожалуйста.
      Check_Browsers_LNK.log
      hijackthis.log
      avz_log.txt
      report2.log
      CollectionLog-2015.07.15-17.29.zip
    • chastov
      Зашифрованы doc и docx файлы.
      Автор chastov
      Прикрепляю лог образец и образец файла(заархивировал).Пришел по почте с надписью
      В связи с неявкой вашего представителя в судебное заседание ознакомтесь с обеспечительными мерами
      (арест средств на расчетном счете) принятых судов в отношении вашей организации.
      от Валерия Тимошева [valeria@posolo.ru]
      CollectionLog-2015.03.16-13.27.zip
      !!!бланк договора (новый).doc.rar
    • botw
      вирус шифровальщик
      Автор botw
      Сотрудник получил спам письмо с ссылкой на архив содержащий Trojan-Ransom.Win32.Crypmod.vmx, запустил его и благополучно зашифровал все excel документы, как у себя так и на сетевых дисках. Ниже приведен текст письма с ссылкой на архив с вирусом.
       
      "Уведомление о начале судебного разбирательства.[/size]
      Здравствуйте.
      Поскольку Ваша финансовая задолженность не была урегулирована в добровольном порядке, новый кредитор вынужден прибегнуть к новым принудительным мерам взыскания, предусмотренным законодательством
      Российской Федерации: направлению выездных групп по адресу регистрации, судебному разбирательству, инициированию исполнительного производства до полного погашения задолженности. Напоминаем Вам, что
      в случае Вашего неучастия в процессе, решение суда может быть вынесено заочно , что может повлечь за собою принудительное исполнение решения суда. Всю информацию в ходе предварительного судебного
      производства и сроках рассмотрения, включая копию искового заявления, Вы можете получить перейдя по ссылке находящейся в конце данного письма .
       
       
      [удалено]
      Это сообщение создано автоматически системой и не требует ответа ."
      CollectionLog-2015.07.14-09.16.zip
    • Сергей Цветков
      НУЖНА СРОЧНО ПОМОЩЬ.вирус зашифратор
      Автор Сергей Цветков
      Ребят случилась вчера беда пришло письмо на мэйл .Открыли.И вирус зашифровал все файлы.Компьютер рабочий сидит девугка за ним .Все рабочие файлы были зашифрованы.А тут столько работы ...Помогите пожалуйста         
      Файл прикрепить не дает((((
      Вот что во всех файлах на конце теперь пишет 
      16х7.pdf.id-5114257528_blockchain@inbox.com 
      и все файлы он переделал в ms-dos
    • Радий Логачёв
      Важные файлы зашифрованны
      Автор Радий Логачёв
      Здравствуйте, поймал вирус, зашифровались все файлы! на рабочем столе поставилась заставка "Внимание! Все важные файлы на всех дисках были зашифрованы. Подробности вы можете прочитать в файлах readme.txt, которые можно найти на дисках."
      CollectionLog-2015.07.09-00.38.zip
×
×
  • Создать...