Перейти к содержанию

Все ваши файлы на всех дисках вашего компьютера были зашифрованы.

Ortor
 Поделиться

Рекомендуемые сообщения

Ortor Новичок

Ortor

Опубликовано
Опубликовано
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
A8255187969ED856CAC6|0
на электронный адрес decoder1112@gmail.com или deshifrovka@india.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
A8255187969ED856CAC6|0
to e-mail address decoder1112@gmail.com or deshifrovka@india.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.

 

CollectionLog-2015.02.28-15.48.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Никита\AppData\Roaming\newSI_21590\s_inst.exe','');
QuarantineFile('C:\Users\Никита\AppData\Roaming\newSI_21591\s_inst.exe','');
QuarantineFile('C:\Users\Никита\AppData\Roaming\newSI_4396\s_inst.exe','');
QuarantineFile('C:\Users\Никита\AppData\Roaming\newSI_1801\s_inst.exe','');
QuarantineFile('C:\Users\Никита\AppData\Roaming\newnext.me\nengine.dll','');
QuarantineFile('C:\Users\Никита\AppData\Roaming\cppredistx86.exe','');
QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
QuarantineFile('C:\ProgramData\Schedule\timetasks.exe','');
DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32');
DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Schedule','command');
DeleteFile('C:\Users\Никита\AppData\Roaming\cppredistx86.exe','32');
DeleteFile('C:\Users\Никита\AppData\Roaming\newnext.me\nengine.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Visual C++ 2010','command');
DeleteFile('C:\Users\Никита\AppData\Roaming\newSI_1801\s_inst.exe','32');
DeleteFile('C:\Windows\Tasks\newSI_21590.job','64');
DeleteFile('C:\Windows\Tasks\newSI_21591.job','64');
DeleteFile('C:\Windows\Tasks\newSI_4396.job','64');
DeleteFile('C:\Users\Никита\AppData\Roaming\newSI_4396\s_inst.exe','32');
DeleteFile('C:\Users\Никита\AppData\Roaming\newSI_21591\s_inst.exe','32');
DeleteFile('C:\Users\Никита\AppData\Roaming\newSI_21590\s_inst.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

 

Сделайте лог полного сканирования МВАМ

Ссылка на комментарий
Поделиться на другие сайты
Ortor Новичок

Ortor

Опубликовано
  • Автор
Опубликовано

Полученный ответ:


KLAN-2553125313
cppredistx86.exe

Вредоносный код в файле не обнаружен.

timetasks.exe - not-a-virus:Downloader.Win32.ZxrLoader.d

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского



Лог ниже.
 


fix. Вот ответ. 

cppredistx86.exe

Вредоносный код в файле не обнаружен.

timetasks.exe - not-a-virus:Downloader.Win32.ZxrLoader.d

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

log.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Поместите в карантин МВАМ все, кроме

 

Trojan.Agent.CK, D:\Kaspersky World 1.3.13.17\KW.exe, , [fcad49d9d7b3b08679c7d9d845bbee12],
PUP.GameTool, D:\Launcher\iccwc3.icc, , [ddcca082d0ba89adb661316bd9277090],

 

  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Александр КС
      Зашифровались файлы на компе и на сетевом диске.
      Автор Александр КС
      Здравствуйте. Столкнулись с шифровальщиком. 1 компьютер остался включенным на майские праздники. Судя по дате изменения файлов 4 дня зашифровывались файлы и он перекинулся на сетевой диск. 5 мая утром он начал шифровать файлы и на других компьютерах, после их включения. После отключения 1 компьютера от сети шифрование по сети остановилось. Антивирус увидел, что файл morgan.exe начал менять уже .exe файлы и был удален. Был отформатирован диск С и установлена новая windows. Но тысячи файлов остались зашифрованными. Логи, зараженные файлы и записку от злоумышленника прилагаю.
      Зашифрованные файлы и записка.rar Addition.txt FRST.txt
    • Reshat
      Зашифровали компьютер
      Автор Reshat
      Добрый день!Зашифровали компьютер с файлами пишут:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by KOZANOSTRA
      Your decryption ID is <ID>*KOZANOSTRA-<ID>
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - vancureez@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Файлы скана прикрепляю к сообщению.
      Addition.txt FRST.txt
    • 4tetree
      Зашифровали компьютер
      Автор 4tetree
      Добрый день!Зашифровали компьютер с файлами пишут:
       
      ссылка удалена ссылка на скачивание двух зараженных файлов
    • sanka
      Ваши документы, базы данных и другие файлы были зашифрованы.
      Автор sanka
      Добрый день!
       
      Просьба помочь с расшифровкой.
      Лог FRST, записка вымогателя и примеры зашифрованных файлов во вложении
      FRST.zip примеры и записка вымогателя.zip
    • tamerlan
      Зашифровались файлы
      Автор tamerlan
      Доброго дня. зашифровались все файлы в формат .danie 
      Волнует только расшифровать файл базы 1С, пото просто переустановлю систему и все. 
      Помогите пожалуйста.
×
×
  • Создать...