Перейти к содержанию

словили шифровальщик файлов


Рекомендуемые сообщения

Добрый день
на компьютере словили шифровальщик файлов
более 60тыс файлов переименовались в 902.DOCX.tunplzd 
все файлы офисного пакета+ пдф + картинки

Когда меня позвали к компьютеру, никаких окон вымагателей уже не было и никаких следов трояна я уже не видел.

я прошелся по инструкции. В безопасном режиме куреит и касперский ничего не нашли
еще добавил в архив несколько шифрованных файлов (я их проверил на вирустотал - все чисто)

 

подскажите план действий и есть ли шанс как-то получить декодер?

Если реально расшифровать файлы, готов поддержать разработку донатом

archive_with_decoderfiles.zip

Ссылка на комментарий
Поделиться на другие сайты

Спасибо за попытку помочь,

выкладвываю логи и еще скрин карантина антивируса, может вам нужны эти файлы

 

Если файлы реально расшифровать, я готов сделать донат за труды.

 

CollectionLog-2015.02.10-18.35.zip

post-33553-0-85973000-1423586241_thumb.png

Ссылка на комментарий
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Users\User\xemfuaporaxe.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\mssjal.exe','');
 DeleteFile('C:\Users\User\AppData\Roaming\mssjal.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2523998866','command');
 DeleteFile('C:\Users\User\xemfuaporaxe.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\xemfuaporaxe','command');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2523998866');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\xemfuaporaxe');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Regedit32');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Сделайте новые логи Автологгером. 
 
 

Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 
 
В следующем вашем ответе мне требуются следующие отчеты:
 
1. CollectionLog-yyyy.mm.dd-hh.mm.zip
 
2. mbam-log-[data] (time).txt
Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

сделал все по инструкции: 

но файл карантина пустой выгрузился. Размер 1кб. В архиве пусто. 

Я отправлял на иследование, пришло письмо что архив поврежден.

 

остальные логи прикладываю.

 

у меня еще вопрос, вы не знаете, вирус делал клон файла, шифровал и оригинал удалял? или по другой схеме, есть смысл пытаться восстановление файлов делать?

и еще вопрос, в майкрософт антивирусе эти файлы висят в карантине, их удалять или пока не трогать?

MBAM-log-2015-02-11 (17-37-08).txt

CollectionLog-2015.02.11-17.45.zip

Ссылка на комментарий
Поделиться на другие сайты

 

Версия базы данных:  v2013.04.04.07

Базы не обновили перед сканированием. Лог нужно переделать.

 

 

 

вы не знаете, вирус делал клон файла, шифровал и оригинал удалял? или по другой схеме, есть смысл пытаться восстановление файлов делать?

Здесь  http://securelist.ru/analysis/obzor/21090/novoe-pokolenie-vymogatelej/ есть описание вируса. У вас CTB-Locker. Можно попробовать из теневых копий восстановить часть файлов, но новые версии CTB Locker затирают теневые резервные копии системы.

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Tsushima52
      От Tsushima52
      Заметил, что температура процессора и его нагрузка очень сильно увеличивается, когда не включен диспетчер задач
      Помогите удалить майнер
    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Maximus02
      От Maximus02
      1.zip
       
      Здравствуйте!
       
      Словили шифровальшик. Пока не выяснили источник, где был произведен запуск шифровальщика. Есть зашифрованные файлы с размером и окончанием .tae7AeTe. Также есть оригинальный файл с нулевым окончанием. Зашифровано все на NAS Synology.
      Помогите пожалуйста с расшифровкой, если это возможно.
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
    • Big_Jamal
×
×
  • Создать...