Перейти к содержанию

Ваши файлы были зашифрованы


Рекомендуемые сообщения

Доброго времени суток!

Столкнулся с такой гадостью, как шифровальщик... точнее бабушка моя. Все юзерские файлы зашифрованы. Расширение - xtbl 

 



Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

16875D38032998D218E9|0

на электронный адрес decode00001@gmail.com или decode00002@gmail.com .

Далее вы получите все необходимые инструкции. 

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

 

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

16875D38032998D218E9|0

to e-mail address decode00001@gmail.com or decode00002@gmail.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.



 

Очень надеюсь на вашу помощь!

В аттачах zip после выполнения скрипта в AVZ

 

Так же есть несколько предполагаемых .exe, с помощью которых скачиваются гады.

На учетную запись пароль не стоит... на расшифровку можно не надеяться? (читал другую тему, там такой вывод)

KL_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

Определитесь где будете проходить лечение. Здесь будете лечиться или на официальном форуме ЛК?

разницы ведь нет?

буду здесь

Ссылка на комментарий
Поделиться на другие сайты

как раз делаю.

на оф. форуме надо как то отменить/удалить/закрыть тему? чтоб людей не беспокоить

ах. уже прочитал сообщение про дубль там  :)

@mike 1

 

Kaspersky Virus Removal Tool 2011 обнаружила несколько вирусяк. прикладываю скрин. всех их в карантин засунул.

 

логи в аттачах

CollectionLog-2015.03.10-04.35.zip

post-33887-0-15056800-1425940761_thumb.png

Ссылка на комментарий
Поделиться на другие сайты

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке
move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

 

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 TerminateProcessByName('c:\users\lf\appdata\local\gmsd_ru_148\upgmsd_ru_148.exe');
 TerminateProcessByName('c:\users\lf\appdata\local\5b52ee00-1425329642-81dd-3151-0022159b7b9d\snsbd76d.tmp');
 TerminateProcessByName('c:\users\lf\appdata\local\smartweb\smartwebhelper.exe');
 TerminateProcessByName('c:\users\lf\appdata\local\smartweb\smartwebapp.exe');
 TerminateProcessByName('c:\program files\quickref_1.10.0.9\service\qrsvc.exe');
 TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
 TerminateProcessByName('c:\program files\xtab\protectservice.exe');
 TerminateProcessByName('c:\users\lf\appdata\roaming\5b52ee00-1425329550-81dd-3151-0022159b7b9d\nsa8b57.tmpfs');
 TerminateProcessByName('c:\users\lf\appdata\roaming\5b52ee00-1425329550-81dd-3151-0022159b7b9d\jnsvd01a.tmp');
 TerminateProcessByName('c:\users\lf\appdata\local\5b52ee00-1425330331-81dd-3151-0022159b7b9d\jnsf5850.exe');
 TerminateProcessByName('c:\program files\ver4blockandsurf\j4blockandsurfj52.exe');
 TerminateProcessByName('c:\users\lf\appdata\local\5b52ee00-1425330331-81dd-3151-0022159b7b9d\insk5a91.tmp');
 TerminateProcessByName('c:\program files\xtab\hpnotify.exe');
 TerminateProcessByName('c:\program files\gmsd_ru_148\gmsd_ru_148.exe');
 TerminateProcessByName('c:\program files\xtab\cmdshell.exe');
 TerminateProcessByName('c:\program files\igs\basementduster.exe');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 SetServiceStart('{b1ce3ece-1927-4e6e-b064-2f9628964a7a}Gw', 4);
 SetServiceStart('webTinstMK', 4);
 SetServiceStart('qrnfd_1_10_0_9', 4);
 SetServiceStart('WindowsMangerProtect', 4);
 SetServiceStart('rorycupy', 4);
 SetServiceStart('qrsvc_1.10.0.9', 4);
 SetServiceStart('qiduvoko', 4);
 SetServiceStart('IHProtect Service', 4);
 SetServiceStart('cehufofi', 4);
 SetServiceStart('BasementDuster', 4);
 StopService('{b1ce3ece-1927-4e6e-b064-2f9628964a7a}Gw');
 StopService('webTinstMK');
 StopService('qrnfd_1_10_0_9');
 StopService('WindowsMangerProtect');
 StopService('rorycupy');
 StopService('qrsvc_1.10.0.9');
 StopService('qiduvoko');
 StopService('IHProtect Service');
 StopService('cehufofi');
 StopService('BasementDuster');
 QuarantineFile('C:\Program Files\xtab\*','');
 QuarantineFile('C:\ProgramData\Kbrowser utility\*','');
 QuarantineFile('C:\Program Files\AnyProtectEx\*','');
 QuarantineFile('C:\ProgramData\WindowsProtec','');
 QuarantineFile('C:\ProgramData\IePluginSe','');
 QuarantineFile('C:\Program Files\Kinoroom Browser\*','');
 QuarantineFile('C:\PROGRA~1\SupTab\*','');
 QuarantineFile('C:\Windows\system32\drivers\{b1ce3ece-1927-4e6e-b064-2f9628964a7a}Gw.sys','');
 QuarantineFile('C:\Program Files\PC Connectivity Solution\ServiceLayer.exe','');
 QuarantineFile('C:\Program Files\GamesRS\GUpdater.exe','');
 QuarantineFile('C:\Windows\system32\Drivers\webTinstMK.sys','');
 QuarantineFile('C:\Windows\system32\drivers\qrnfd_1_10_0_9.sys','');
 QuarantineFile('C:\Windows\system32\drivers\BBA4EC9B.sys','');
 QuarantineFile('C:\Windows\system32\drivers\11845434.sys','');
 QuarantineFile('C:\Windows\system32\BDL.dll','');
 QuarantineFile('C:\Program Files\ver4BlockAndSurf\*','');
 QuarantineFile('C:\Program Files\IGS\*','');
 QuarantineFile('c:\users\lf\appdata\local\gmsd_ru_148\*','');
 QuarantineFile('c:\users\lf\appdata\local\5b52ee00-1425329642-81dd-3151-0022159b7b9d\snsbd76d.tmp','');
 QuarantineFile('c:\users\lf\appdata\local\smartweb\*','');
 QuarantineFile('c:\program files\quickref_1.10.0.9\*','');
 QuarantineFile('c:\programdata\windowsmangerprotect\*','');
 QuarantineFile('c:\users\lf\appdata\roaming\5b52ee00-1425329550-81dd-3151-0022159b7b9d\*','');
 QuarantineFile('c:\users\lf\appdata\local\5b52ee00-1425330331-81dd-3151-0022159b7b9d\*','');
 QuarantineFile('c:\program files\gmsd_ru_148\*','');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 DeleteFile('C:\Windows\system32\BDL.dll','32');
 DeleteFile('C:\Windows\system32\Drivers\webTinstMK.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{b1ce3ece-1927-4e6e-b064-2f9628964a7a}Gw.sys','32');
 DeleteFile('C:\ProgramData\IePluginSe','32');
 DeleteFile('C:\ProgramData\WindowsProtec','32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
 DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
 DeleteFile('C:\Windows\Tasks\BlockAndSurf Update.job','32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','32');
 DeleteFile('C:\Windows\system32\Tasks\BlockAndSurf Update','32');
 DeleteFile('C:\ProgramData\Kbrowser utility\','32');
 DeleteFile('C:\Windows\system32\Tasks\kbrowser-updater-utility','32');
 DeleteFile('C:\Windows\system32\Drivers\qrnfd_1_10_0_9.sys','32');
 DelBHO('DE71FF32-68BD-1F4E-2ED0-2BA5CAD6F880');
 DelBHO('3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_148');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_148.exe');
 DeleteService('{b1ce3ece-1927-4e6e-b064-2f9628964a7a}Gw');
 DeleteService('webTinstMK');
 DeleteService('qrnfd_1_10_0_9');
 DeleteService('WindowsMangerProtect');
 DeleteService('rorycupy');
 DeleteService('qrsvc_1.10.0.9');
 DeleteService('qiduvoko');
 DeleteService('IHProtect Service');
 DeleteService('cehufofi');
 DeleteService('BasementDuster');
 DeleteFileMask('c:\program files\xtab\','*', true, '');
 DeleteFileMask('c:\users\lf\appdata\local\5b52ee00-1425330331-81dd-3151-0022159b7b9d\','*', true, '');
 DeleteFileMask('C:\Program Files\IGS\','*', true, '');
 DeleteFileMask('C:\Program Files\ver4BlockAndSurf\','*', true, '');
 DeleteFileMask('C:\Users\LF\AppData\Roaming\5B52EE00-1425329550-81DD-3151-0022159B7B9D\','*', true, '');
 DeleteFileMask('C:\ProgramData\WindowsMangerProtect\','*', true, '');
 DeleteFileMask('C:\PROGRA~1\SupTab\','*', true, '');
 DeleteFileMask('C:\Program Files\Kinoroom Browser\','*', true, '');
 DeleteFileMask('C:\Program Files\gmsd_ru_148\','*', true, '');
 DeleteFileMask('C:\Users\LF\appdata\local\gmsd_ru_148\','*', true, '');
 DeleteFileMask('C:\Users\LF\appdata\local\smartweb\','*', true, '');
 DeleteFileMask('C:\Program Files\quickref_1.10.0.9\','*', true, '');
 DeleteDirectory('c:\program files\xtab\',' ');
 DeleteDirectory('c:\users\lf\appdata\local\5b52ee00-1425330331-81dd-3151-0022159b7b9d\',' ');
 DeleteDirectory('C:\Program Files\IGS\',' ');
 DeleteDirectory('C:\Program Files\ver4BlockAndSurf\',' ');
 DeleteDirectory('C:\Users\LF\AppData\Local\SmartWeb\',' ');
 DeleteDirectory('C:\Users\LF\AppData\Roaming\5B52EE00-1425329550-81DD-3151-0022159B7B9D\',' ');
 DeleteDirectory('C:\ProgramData\WindowsMangerProtect\',' ');
 DeleteDirectory('C:\PROGRA~1\SupTab\',' ');
 DeleteDirectory('C:\Program Files\Kinoroom Browser\ ',' ');
 DeleteDirectory('C:\Program Files\gmsd_ru_148\',' ');
 DeleteDirectory('C:\Users\LF\appdata\local\gmsd_ru_148\',' ');
 DeleteDirectory('C:\Users\LF\appdata\local\smartweb\ ',' ');
 DeleteDirectory('C:\Program Files\quickref_1.10.0.9\',' ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.
Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.
 
Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;
2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;
3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;
4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;
5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.
Важно: размер архива не должен превышать 15 МБ;
6) В строке EMail укажите адрес своей электронной почты;
7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

 
Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1425806999&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=dspp&ts=1425308809&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=dspp&ts=1425308809&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1425806999&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1425806999&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1425806984&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1425806984&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1425806999&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895
O2 - BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files\XTab\SupTab.dll
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2 - BHO: BlockAndSurf - {DE71FF32-68BD-1F4E-2ED0-2BA5CAD6F880} - C:\Program Files\ver4BlockAndSurf\189.dll
O4 - HKLM\..\Run: [gmsd_ru_148] "C:\Program Files\gmsd_ru_148\gmsd_ru_148.exe"
O4 - HKLM\..\Run: [SmartWeb] C:\Users\LF\AppData\Local\SmartWeb\SmartWebHelper.exe
O4 - HKLM\..\Run: [Client Server Runtime Subsystem] "C:\ProgramData\Windows\csrss.exe"
O4 - HKLM\..\RunOnce: [upgmsd_ru_148.exe] C:\Users\LF\AppData\Local\gmsd_ru_148\upgmsd_ru_148.exe -runonce
O4 - Startup: SmartWeb.lnk = C:\Users\LF\AppData\Local\SmartWeb\SmartWebHelper.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\bdl.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bdl.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bdl.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bdl.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bdl.dll
O20 - AppInit_DLLs: C:\PROGRA~1\SupTab\SEARCH~1.DLL

 
Сделайте новые логи по правилам (только пункт 3).

+

Приложите логи FarbarRecovery Scan Tool
http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

 

отчет прикладываю.

 

выполнил скрипт в AVZ - комп перезагрузился. затем пытался создать zip карантина...не получается.. не нахожу файл с zip. Как я понял он должен быть в папке AVZ - его нету. Искал через поиск с помощью "*.zip" - не нашелся. Скрин скрипта и протокола его выполнения прикладываю, может что то не так?

Разобрался! скрипт с ошибкой!

 

ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);

 

 

никакого 7z.exe нету. есть 7za.exe

Даже на сайте, где лежит автологгер так написано - см. скрин.

Всё, карантин отправляю, выполняю скрипты дальше 

post-33887-0-53675000-1426013977_thumb.png

ClearLNK-10.03.2015_20-11.log

post-33887-0-57239000-1426014497_thumb.png

Ссылка на комментарий
Поделиться на другие сайты

 

 


никакого 7z.exe нету. есть 7za.exe Даже на сайте, где лежит автологгер так написано - см. скрин.

что-то сменили в автологгере.

 

 


Сделайте новые логи по правилам (только пункт 3). + Приложите логи FarbarRecovery Scan Tool http://forum.kaspers...611?do=findComment&comment=647696
  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

ответ про карантин:

 

 

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

__u.exe,
189.crx,
189.dat,
189.dll,
189.xpi,
BlockAndSurf.exe,
BrowerWatchCH.dll,
BrowerWatchFF.dll,
conf,
gamesdesktop_widget.exe,
gmsd_ru_148.exe,
HPNotify.exe,
h-uEPzwRkfs2zUNhu5ta+5Zo7b4wO+PvSarF69Rn9Dc=.xtbl,
IeWatchDog.dll,
install.data,
J4BlockAndSurfJ52.dll,
J4BlockAndSurfJ52.exe,
jnsf5850.exe,
kbrowser-updater-utility.exe,
nsa8B57.tmpfs,
product.guid,
ProtectService.exe,
ProtectWindowsManager.exe,
searchProvider.xml,
SmartWebApp.exe,
SmartWebHelper.exe,
swhk.dll,
terms-of-service.rtf,
unins000.dat,
unins000.msg,
uninst.lnk,
uninstall.exe,
Uninstall.exe,
uninstall_0.exe,
Uninstall_0.exe,
Uninstall_2.exe,
Uninstall_3.exe,
upgmsd_ru_148.cyl,
user_profil.cyp,
vnsq6BCF.tmp,
webTinstMK.sys

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

BasementDuster.exe,
BasementDuster.tlb,
BasementDusterCert.dll,
BDL.dll,
BDL.exe,
BDL.ini,
BDL_0.dll,
BDL64.dll,
BDL64.exe,
ffsearch_toolbar!1.0.0.1025.xpi,
jnsvD01A.tmp,
nssckbi.dll,
nssdbm3.dll,
omwd.sys,
softokn3.dll,
ssl3.dll,
SupTab.dll,
unins000.exe

Вредоносный код в файлах не обнаружен.

bcqr00037.dat,
bcqr00038.dat,
snsbd76d.tmp - not-a-virus:AdWare.Win32.AdSvc.h
CmdShell.exe - not-a-virus:AdWare.Win32.SearchProtect.ky
insk5A91.tmp - not-a-virus:AdWare.Win32.AdSvc.b
predm.exe - not-a-virus:AdWare.Win32.Eorezo.jlb
qrnfd_1_10_0_9.sys,
Uninstall_1.exe - not-a-virus:AdWare.Win32.Vitruvian.e

Это файлы от рекламной системы. Детектирование файлов будет добавлено в   следующее обновление расширенного набора баз. Подробная информация о   расширенных базах: http://www.kaspersky.ru/extraavupdates

csrss.exe - Backdoor.Win32.Androm.gkcx

Детектирование файла будет добавлено в следующее обновление.

rnsfC5F8.exe,
rnsk5A92.exe - not-a-virus:Downloader.Win32.Agent.deqn
upgmsd_ru_148.exe - not-a-virus:RiskTool.Win32.Agent.nak

Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.

логи автологгера и FRST:


 

 

AnyProtect.exe

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

Addition.txt

CollectionLog-2015.03.11-02.46.zip

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Удалите через CCleaner установленные программы:

GamesDesktop 033.148 (HKLM\...\gmsd_ru_148_is1) (Version:  - GAMESDESKTOP) <==== ATTENTIONIGS (HKLM\...\IGS) (Version:  - ) <==== ATTENTION!
igsc (HKLM\...\igsc) (Version: 1.0.0.0 - igs) <==== ATTENTION!
istartsurf uninstall (HKLM\...\istartsurf uninstall) (Version:  - istartsurf) <==== ATTENTION
Remote Desktop Access (VuuPC) (HKLM\...\VOPackage) (Version: 1.0.0.0 - CMI Limited) <==== ATTENTION
SmartWeb (HKLM\...\SmartWeb) (Version: 8.0.9 - SoftBrain Technologies Ltd.) <==== ATTENTION
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
Task: {3EFC87C2-793B-4FF7-ABCF-0EE7311C26F6} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\LF\AppData\Local\SmartWeb\SmartWebHelper.exe <==== ATTENTION


Task: {DF16BDB6-0F19-4897-997C-C47855089D83} - \kbrowser-updater-utility No Task File <==== ATTENTION
2015-03-02 20:54 - 2015-03-02 20:54 - 00141312 _____ () C:\Users\LF\AppData\Local\5B52EE00-1425329642-81DD-3151-0022159B7B9D\snsbD76D.tmp
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\BasementDuster => ""="service"
HKU\S-1-5-21-3150508205-1287835431-101241144-1000\...\Run: [**1=>28 !>DB<*>] => "C:\Program Files\Obnovi Soft\ObnoviSoft.exe" -startup <===== ATTENTION (Value Name with invalid characters)
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-3150508205-1287835431-101241144-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3150508205-1287835431-101241144-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1425806999&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1425806984&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3150508205-1287835431-101241144-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895&ts=1425807028&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3150508205-1287835431-101241144-1000 -> yandex.ru-130619 URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895&ts=1425807028&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3150508205-1287835431-101241144-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895&ts=1425807028&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3150508205-1287835431-101241144-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
SearchScopes: HKU\S-1-5-21-3150508205-1287835431-101241144-1000 -> {1D93F2B0-43FB-4D19-8197-F17D28812C65} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895&ts=1425807028&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3150508205-1287835431-101241144-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895&ts=1425807028&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3150508205-1287835431-101241144-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=dspp&ts=1425806999&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3150508205-1287835431-101241144-1000 -> {AE9016E0-F5F4-4258-9B14-074EC25A0A33} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895&ts=1425807028&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3150508205-1287835431-101241144-1000 -> {BB63FB5B-284C-4318-9610-4068B282F738} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895&ts=1425807028&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3150508205-1287835431-101241144-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895&ts=1425807028&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3150508205-1287835431-101241144-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895&ts=1425807028&type=default&q={searchTerms}
Toolbar: HKU\S-1-5-21-3150508205-1287835431-101241144-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
Winsock: Catalog9 01 C:\Windows\system32\BDL.dll File Not found ()
Winsock: Catalog9 02 C:\Windows\system32\BDL.dll File Not found ()
Winsock: Catalog9 03 C:\Windows\system32\BDL.dll File Not found ()
Winsock: Catalog9 04 C:\Windows\system32\BDL.dll File Not found ()
Winsock: Catalog9 34 C:\Windows\system32\BDL.dll File Not found ()
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1401731452&from=sien&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895
FF Extension: The best games in one place - C:\Users\LF\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\playgame@zugaramedia.com.xpi [2014-05-04]
FF HKU\S-1-5-21-3150508205-1287835431-101241144-1000\...\Firefox\Extensions: [{F6D17A90-2A3E-15C3-0449-C0F1E1D9378E}] - C:\Program Files\ver4BlockAndSurf\189.xpi
CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found]
R2 zyrityty; C:\Users\LF\AppData\Local\5B52EE00-1425329642-81DD-3151-0022159B7B9D\snsbD76D.tmp [141312 2015-03-02] () [File not signed]
S2 GamesRS; C:\Program Files\GamesRS\GUpdater.exe [X]
S3 ServiceLayer; "C:\Program Files\PC Connectivity Solution\ServiceLayer.exe" [X]
S1 {b1ce3ece-1927-4e6e-b064-2f9628964a7a}w; system32\drivers\{b1ce3ece-1927-4e6e-b064-2f9628964a7a}w.sys [X]
2015-03-08 15:30 - 2015-03-08 15:30 - 00613255 _____ (CMI Limited) C:\Users\LF\AppData\Local\nssF27B.tmp
2015-03-04 16:42 - 2015-03-10 20:14 - 00000000 __SHD () C:\Users\Все пользователи\Windows
2015-03-04 16:42 - 2015-03-10 20:14 - 00000000 __SHD () C:\ProgramData\Windows
2015-03-04 15:04 - 2015-03-08 15:32 - 00000968 _____ () C:\Users\LF\Desktop\AnyProtect.lnk
2015-03-04 15:02 - 2015-03-04 15:02 - 00613067 _____ (CMI Limited) C:\Users\LF\AppData\Local\nsc20BB.tmp
2015-03-04 01:08 - 2015-03-04 01:12 - 00000000 ____D () C:\Users\LF\AppData\Roaming\Obnovi Soft
2015-03-04 01:08 - 2015-03-04 01:08 - 00000989 _____ () C:\Users\LF\Desktop\Обнови Софт.lnk
2015-03-04 01:08 - 2015-03-04 01:08 - 00000000 ____D () C:\Users\LF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Обнови Софт
2015-03-04 01:08 - 2015-03-04 01:08 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт
2015-03-04 01:08 - 2015-03-04 01:08 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Booster 2
2015-03-04 01:08 - 2015-03-04 01:08 - 00000000 ____D () C:\Program Files\Obnovi Soft
2015-03-03 00:13 - 2015-03-03 00:13 - 00613067 _____ (CMI Limited) C:\Users\LF\AppData\Local\nss7CCF.tmp
2015-03-02 23:13 - 2015-03-02 23:13 - 00613067 _____ (CMI Limited) C:\Users\LF\AppData\Local\nsm9473.tmp
2015-03-02 21:26 - 2015-03-02 21:26 - 00000000 ____D () C:\Users\LF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AnyProtect PC Backup
2015-03-02 21:25 - 2015-03-10 20:14 - 00000000 ____D () C:\Program Files\AnyProtectEx
2015-03-02 21:25 - 2015-03-02 21:25 - 00613067 _____ (CMI Limited) C:\Users\LF\AppData\Local\nsn30A7.tmp
2015-03-02 21:25 - 2015-03-02 21:25 - 00000000 __SHD () C:\Users\LF\AppData\Roaming\AnyProtectEx
2015-03-02 21:24 - 2015-03-08 14:58 - 00001770 _____ () C:\Windows\patsearch.bin
2015-03-02 21:08 - 2015-03-02 21:08 - 00000000 ____D () C:\Users\Все пользователи\IHProtectUpDate
2015-03-02 21:08 - 2015-03-02 21:08 - 00000000 ____D () C:\ProgramData\IHProtectUpDate
2015-03-02 21:07 - 2015-03-10 20:16 - 00000000 ____D () C:\Program Files\XTab
2015-03-02 21:06 - 2015-03-10 04:28 - 00010736 _____ () C:\Windows\system32\BasementDuster.ini
2015-03-02 21:06 - 2015-03-10 04:28 - 00008640 _____ () C:\Windows\system32\BasementDusterOff.ini
2015-03-02 21:05 - 2015-03-02 21:05 - 00000000 ____D () C:\Users\LF\AppData\Roaming\istartsurf
2015-03-02 20:54 - 2015-03-11 02:45 - 00000000 ____D () C:\Users\LF\AppData\Local\5B52EE00-1425329642-81DD-3151-0022159B7B9D
2015-03-02 20:52 - 2015-03-10 20:16 - 00000000 ____D () C:\Users\LF\AppData\Roaming\5B52EE00-1425329550-81DD-3151-0022159B7B9D
2015-03-02 20:52 - 2015-03-02 20:52 - 00000000 ____D () C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2015-03-02 20:52 - 2015-03-02 20:52 - 00000000 ____D () C:\Users\LF\AppData\Roaming\VOPackage
2015-03-02 20:52 - 2015-03-02 20:52 - 00000000 ____D () C:\Users\LF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage
2015-03-02 20:52 - 2015-03-02 20:52 - 00000000 ____D () C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2015-03-04 15:02 - 2015-03-04 15:02 - 0613067 _____ (CMI Limited) C:\Users\LF\AppData\Local\nsc20BB.tmp
2015-03-02 23:13 - 2015-03-02 23:13 - 0613067 _____ (CMI Limited) C:\Users\LF\AppData\Local\nsm9473.tmp
2015-03-02 21:25 - 2015-03-02 21:25 - 0613067 _____ (CMI Limited) C:\Users\LF\AppData\Local\nsn30A7.tmp
2015-03-03 00:13 - 2015-03-03 00:13 - 0613067 _____ (CMI Limited) C:\Users\LF\AppData\Local\nss7CCF.tmp
2015-03-08 15:30 - 2015-03-08 15:30 - 0613255 _____ (CMI Limited) C:\Users\LF\AppData\Local\nssF27B.tmp

Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

 


Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 TerminateProcessByName('c:\users\lf\appdata\local\5b52ee00-1425329642-81dd-3151-0022159b7b9d\snsbd76d.tmp');
 QuarantineFile('c:\users\lf\appdata\local\5b52ee00-1425329642-81dd-3151-0022159b7b9d\snsbd76d.tmp','');
 DeleteFile('c:\users\lf\appdata\local\5b52ee00-1425329642-81dd-3151-0022159b7b9d\snsbd76d.tmp','32');
 DelAutorunByFileName('c:\users\lf\appdata\local\5b52ee00-1425329642-81dd-3151-0022159b7b9d\snsbd76d.tmp ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.
Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.
 
Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;
2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;
3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;
4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;
5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.
Важно: размер архива не должен превышать 15 МБ;
6) В строке EMail укажите адрес своей электронной почты;
7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

 
Полученный через электронную почту ответ сообщите в этой теме.
 
Сделайте новые логи по правилам (только пункт 3).
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

  1. SmartWeb (HKLM\...\SmartWeb) (Version: 8.0.9 - SoftBrain Technologies Ltd.) ----> Не удается найти указанный файл
  2. istartsurf uninstall (HKLM\...\istartsurf uninstall) (Version:  - istartsurf) ----> чтобы удалить, надо было ввести капчу :D и ваще подозрительный установщик
  3. igsc (HKLM\...\igsc) (Version: 1.0.0.0 - igs) ----> так же как и первый, не найден файл
  4. (HKLM\...\IGS) (Version:  - ) ----> так же
  5. GameDesktop ----> так же

что делать? просто продолжать инструкцию?

Ссылка на комментарий
Поделиться на другие сайты

PS такой вопрос. при шифровании файла, как это происходит? какой из следующих вариантов правильный:

  1. Копируется массив байтов файла, они шифруются, создается новый файл, в который записывается шифр, искомый файл удаляется;
  2. Всё происходит прямо "в файле". Т.е. новый файл не создается и искомый не удаляется ?

почему интересуюсь - если шанс восстановить хоть какую то часть, через восстановление удаленных файлов? например, через прогу RStudio ?

Ссылка на комментарий
Поделиться на другие сайты

 

 

что делать? просто продолжать инструкцию?

Эти программы нужно удалить через установка и удаление программ.

 

 

Kaspersky Anti-Virus (Version: 15.0.0.463 - Лаборатория Касперского) Hidden

Уточните пожалуйста вы антивирус установили уже после заражения шифратором?

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Эти программы нужно удалить через установка и удаление программ.

 

само собой попробовал и там - результат тот же..те же самые ошибки.

 

после заражения вообще ничего не делал, не устанавливал/не удалял. даже файлы все на своих местах.

ничего не делал, кроме инструкций в данной теме

но! в момент заражения, действующей лицензии не было, т.е. каспер был отключен

Ссылка на комментарий
Поделиться на другие сайты

 

 

само собой попробовал и там - результат тот же..те же самые ошибки.

Тогда пропускайте этот шаг и выполняйте скрипт Farbar.

 

 

 

после заражения вообще ничего не делал, не устанавливал/не удалял. даже файлы все на своих местах.

Т.е. я правильно вас понял, что заражение у вас произошло 2 марта, а антивирус касперского вы установили 4 марта? 

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Andrey73
      От Andrey73
      В декабре 2017 года, был зашифрован компьютер, тогда не было денег и времени на его расшифровку.
      Сейчас и деньги и время появилось, обратился в сообщество Касперского, где с пользователь andrew75, помог с файлами .no_more_ransom, это тот формат которыми были зашифрована самая малая часть информации, в основном XTBL.
      Вот эта тема в сообществе, там подробно мы общались на эту тему: https://community.kaspersky.com/kaspersky-virus-removal-tool-77/goda-2-nazad-popal-v-kompyuter-virus-zashifroval-vse-fayly-v-format-xtbl-16600?postid=75980#post75980
      Получается, у меня есть xtbl файлы, есть файл txt с вымогательством, но программа ShadeDecryptor не помогает. Прошу помочь в решении проблемы, буду очень благодарен ! 
      На счет операционной системы (ОС), в 2018 году брат поставил 2 ОС и уже использовал 2 ОС, первую не трогал, а теперь я этот ЖМД поставил в свой компьютер.
      5 зашифрованных файла и txt с требованиями прикрепляю .
       
      57553.zip
    • ericOTT
      От ericOTT
      Здравствуйте!
      Прошу помощи. Одна надежда на вас; ни одна утилита с оффициального сайта Касперского не подходит..
      Зашифровались все важные для меня файлы на всех трёх винчестерах компьютера(2.5 терабайта), а именно фото, видео, картинки, видео и прочее..
       
      На рабочем столе вместо фонового рисунка на чёрном фоне красными буквами: Внимание !все важные файлы на всех дисках компьютера зашифрованы, Подробности вы можете прочитать в файлах readme.txt которые можно найти на из дисков (скрин прилагается)
      А все файлы зашифровались в белиберду с расширением.xtbl,
      например вот: rfWw3-qCPp9sWKr9aa4ILQS3uyuXN75kcQ3O-LOxiwREmqXeHx8PsUr3a9GY1ELh.xtbl
       
      В многочисленных текстовиках созданных вирусом пишется вот это:
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      82C551F386DC56F5EF49|0
      на электронный адрес deshifrovka01@gmail.com или deshifrovka@india.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      82C551F386DC56F5EF49|0
      to e-mail address deshifrovka01@gmail.com or deshifrovka@india.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
       
       
       
      В дополнение к вложениям вот ссылка на файлообменник Я.диск ; выложил туда несколько зашифрованных файлов, тхт созданные вирусом, скрин рабочего стола, лог Др.Вэб и архив CollectionLog-2015.01.18-18.41.zip, + вообще всё что имеется по моей проблеме.
      Если что-то ещё надо, только скажите.
      Очень жду вашей помощи.
      Заранее огромное спасибо.

      CollectionLog-2015.01.18-18.41.zip
    • Жека Шпак
      От Жека Шпак
      несколько лет назад схватил вирус,который поменял все файлы на расширение .xtbl пропало много фоток.подскажите,как восстановить


      Сообщение от модератора thyrex Перенесено из раздела Компьютерная помощь
    • Ilya08111989
      От Ilya08111989
      После заражения компьютера на рабочем столе появилась картинка с надписью "Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы" а так же появился текстовый файл с текстом readme:
       
      Все файлы изменили свое название в набор символов с расширением xtbl
      CollectionLog-2018.11.14-22.27.zip
    • mike 1
      От mike 1
      Введение:


       

      Привет путник! На написание этой статьи меня побудило полное разгильдяйство и халатность некоторых людей, которые работают бухгалтерами, секретарями, клерками, менеджерами и прочими людьми, которые так или иначе работают с электронной почтой на компьютере. Оказывая компьютерную помощь в разделе "Уничтожение вирусов", я заметил, что люди совершенно ни чему не учатся и продолжают ходить по одним и тем же граблям, запуская всякую хрень из электронной почты. Каждый раз когда я читаю очередную тему с шифровальщиком в разделе "Уничтожение вирусов", я вспоминаю один момент из мультика Буратино:
       





       

      Но не будем о грустном и перейдем к рекомендациям, которые я могу дать Вам пользователям.
       
       
       


      Общие рекомендации:


       
       
       

      1. Никогда не открывайте почтовые вложения от неизвестных отправителей!
       
       
       
      В большинстве случаев троянцы-шифровальщики распространяются через почтовые вложения. Задача злоумышленника – убедить пользователя открыть вложение из письма, поэтому темы писем могут быть разными, например: уведомление из арбитражного суда об иске; исполнительное производство о взыскании задолженности; возбуждение уголовного дела; перерасчет в Сбербанке; изменения в тарифном плане и т.д.
       





      Рис. 1 Архив с вирусом


       

      Никогда не открывайте вложения из писем, которые были получены от неизвестных адресатов, каким бы страшным не был заголовок. Если в письме прикреплен архив, то потрудитесь просто посмотреть содержимое архива. И если там исполняемый файл (файл с расширением .exe, .com, .bat, .cmd, .scr, .js, pif, wsf, wsh, jse) как выше, то это 100% вирус.
       
      На заметку: Даже если Вы получили письмо от известного адресата не теряйте бдительность! Если Вы все же чего-то боитесь, то всегда можно узнать истинный адрес той организации, от которой Вы получили письмо.
       
      Для решения этой проблемы можно воспользоваться FixSecurity by Vitokhv, которая на компьютере настраивает SRP политики таким образом, что становится невозможным запустить популярные типы исполняемых файлов.
       





      Рис. 2 Настройка FixSecurity. Рекомендуется выбрать настройки по умолчанию


       
       
       

      Если у Вас имеется какой-либо вопрос по работе с FixSecurity, то Вы можете задать свой вопрос разработчику здесь http://safezone.cc/threads/fixrun-fixsecurity-zaschita-ot-shifrovalschikov.28159/
       


      Kaspersky Anti-Ransomware Tool for Business


       
       
       

      Kaspersky Anti-Ransomware Tool for Business - бесплатный и достаточно эффективный инструмент, разработанный «Лабораторией Касперского», который обеспечивает защиту от действий программ-вымогателей. При обнаружении угрозы Kaspersky Anti-Ransomware Tool автоматически блокирует ее и добавляет в список заблокированных приложений (Blocked Applications). Перед тем как выполнить блокировку, программа-вымогатель может успеть выполнить нежелательные действия в операционной системе (например, создать или изменить файлы, или сделать изменения в реестре). Чтобы выполнить откат действий вредоносной программы Kaspersky Anti-Ransomware Tool хранит историю деятельности приложений.
       





       

      Kaspersky Anti-Ransomware Tool для защиты от программ-вымогателей использует различные методы обнаружения угроз. Инструмент идентифицирует вредоносные приложения на основе информации, содержащейся в Kaspersky Security Network. Облачная сеть Kaspersky Security Network используется, чтобы обеспечить более быстрое реагирование на неизвестные угрозы.
       
      Благодаря пользователям, которые принимают участие в Kaspersky Security Network, «Лаборатория Касперского» способна оперативно собирать информацию о новых типах и источниках угроз, а также разрабатывать решения для их нейтрализации. Участие в Kaspersky Security Network, предполагает отправку статистики, собираемой Kaspersky Anti-Ransomware Tool for Business на вашем компьютере.
       
      Kaspersky Anti-Ransomware Tool for Business совместим со сторонними антивирусными программами и может служить дополнительной защитой от троянов-вымогателей и шифровальщиков с использованием передовых технологий.
       
      Более подробную информацию по Kaspersky Anti-Ransomware Tool for Business смотрите здесь https://virusinfo.info/showthread.php?t=203022
       
      Скачать Kaspersky Anti-Ransomware Tool for Business можно по этой ссылке.
       
       
       
      2. Своевременно обновляйте антивирус, антивирусные базы, операционную систему и другие программы:
       
       
       
      Регулярно обновляйте Ваш антивирус. Очень важно использовать последнюю версию антивируса, т.к. в новых версиях исправляют ошибки и улучшают алгоритмы нахождения свежих вирусов. Вместе с антивирусными базами обновляются программные компоненты, улучшаются существующие функции и добавляются новые. Также устанавливайте обновления для операционной системы и других программ, которыми Вы пользуетесь. Это тоже очень важно, т.к. некоторые вирусы могут использовать уязвимости Windows и прикладного ПО для запуска произвольного вредоносного кода, например шифровальщика.
       
      На заметку: Использование устаревшего антивируса не может обеспечить адекватную защиту Ваших данных. Убедитесь в том, что на сайте производителя нет новой версии антивируса. Если же новая версия есть на сайте производителя, то обязательно обновите текущую версию Вашего антивируса!
       
      Для аудита безопасности системы можно использовать бесплатную программу от Secunia, которую можно скачать и установить по этой ссылке.
       
       
       





      Рис. 3 Сканер от Secunia, сканирующий систему на известные уязвимости.


       
       
       

      3. Не работайте под учетной записью Администратора!
       
       
       
      Я крайне не рекомендую работать под учетной записью Администратора обычным пользователям, особенно бухгалтерам, секретарям, клеркам, менеджерам и т.д. Почему это так плохо? Потому что такой пользователь обладает неограниченными правами и все что доступно ему, доступно и вирусу. Имея такие права, неопытный пользователь может случайно запустить вирус из электронной почты. А к чему это может привести думаю говорить не нужно. Так что старайтесь по возможности работать под учетной записью пользователя, а не Администратора!
       
      На заметку: Если Вам требуется запустить какую-то программу с правами Администратора, то воспользуйтесь контекстным меню проводника и выберите "Запуск от имени Администратора".
       
      Внимание! Начиная с Windows Vista в операционной системе есть встроенный защитный механизм, который называется UAC (контроль учетных записей). UAC не позволяет запускать программы без уведомления. Я настоятельно рекомендую не отключать его, т.к. если Вы его отключите, то тогда вредоносная программа может быть запущена без уведомления!
       
       
       
      4. Настройте доступ к общим сетевым папкам.
       
       
       
      Если вы используете общие сетевые папки, то рекомендуется создать отдельную сетевую папку для каждого пользователя. При этом права на запись должны быть только у владельца папки. Таким образом, при заражении одного компьютера файлы будут зашифрованы только в одной сетевой папке. В противном случае, заражение одного компьютера может привести к шифрованию всех документов на всех сетевых папках.
       
       
       
      5. Регулярно делайте резервные копии важных данных.
       
      Резервное копирование — процесс создания копии данных на жёстком диске, флешке, облаке и т. д.. Резервное копирование необходимо для восстановления поврежденных данных, которые повредились в основном месте их хранения. Зачем их делать и для чего они бывают нужны, я описал в этой https://forum.kasperskyclub.ru/index.php?app=blog&module=display&section=blog&blogid=320&showentry=2083 статье.
       
       
       


      Рекомендации по настройке параметров Windows


       
       
       

      1. Отключите настройку скрытия расширений для зарегистрированных типов файлов.
       
       
       
      По умолчанию во всех версиях Windows включена настройка, которая скрывает зарегистрированные типы файлов. К таким файлам относятся и исполняемые файлы.
      Допустим на мою электронную почту пришло письмо следующего содержания:
       
       
       
       
       
       

      На заметку: Не стоит сразу идти и открывать вложение или ссылку из такого письма, даже если оно пришло от известного отправителя. Сперва убедитесь, что файл не является исполняемым (файлы с расширением .exe, .com, .bat, .cmd, .scr, .js, pif, wsf, wsh, jse и т.д)!
       
       
       
      Итак, я скачал и распаковал прикрепленный архив к письму и что я вижу:
       




       

      С виду обычный офисный файл, но давайте отключим настройку, скрывающую зарегистрированные типы файлов. Итак, что же мы теперь видим:
       




       
       
       

      С виду кажется, что это обычный офисный файл, но если присмотреться, то видно, что в конце у файла добавилось расширение *.scr. Теперь давайте вспомним какие файлы относятся к исполняемым?
       
       
       
       
       
       

      Что же это означает? А означает это, что под видом нужного файла нам пытаются подсунуть кота в мешке, который при запуске зашифрует нам все наши данные.
       
      На заметку: Будьте внимательны при работе с почтой! Некоторые злоумышленники специально дают таким "нужным" файлам длинные имена, чтобы скрыть расширение у файла, например:
       




       
       
       
       
       

      Для отключения этой настройки, выполните следующий скрипт в AVZ:
      beginRegKeyParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced', 'HideFileExt', 'REG_DWORD', '0');RebootWindows(false);end.
      Компьютер перезагрузится.
       

      2. Включите службу теневого копирования для всех дисков.
       
      Начиная с Windows Vista в состав операционных систем Windows входит служба защиты системы на всех дисках, которая создаёт резервные копии файлов и папок во время архивации или создания точки восстановления системы. По умолчанию эта служба включена только для системного раздела. Рекомендуется включить эту службу для всех дисков. Включить ее можно для других дисков, выполнив следующие действия:
       
       
       
      Откройте меню Пуск => Панель управления, в новом окне выберите компонент «Система».
       




       

      В левой области выберите Защита системы. Если отображается запрос на ввод пароля администратора или его подтверждения, укажите пароль или предоставьте подтверждение.
       




       

      Выберите диск, а затем нажмите кнопку Настроить.
       




       

      В следующем окне включите восстановление системы для выбранного диска, затем задайте максимальное использование дискового пространства под нужды системы и нажмите на кнопку "Применить".
       




       

      На заметку: Я рекомендую под эти нужды выделить не менее 5% от общей емкости диска.
       
      Теперь у Вас в случае заражения шифровальщиком компьютера будет возможность восстановить данные из теневых копий Windows со всех дисков. Как это сделать я опишу ниже:
       
      1. У Вас имеются зашифрованные файлы, которые нужно восстановить.
       




       
       
       

      2. Скачайте утилиту ShadowExplorer, распакуйте в новую папку и запустите от имени Администратора.
       




       

      3. Выберите элементы для восстановления, затем щелкните правой кнопкой мыши по выбранным файлам и нажмите на кнопку "Export"
       
      Важно! Лучше всего данные восстанавливать на отдельный флэш накопитель.
       




       
       
       

      4. Выберите папку куда нужно будет сохранить восстановленные файлы и нажмите на кнопку "ОК"
       
       
       




       

      5. Дождитесь окончания работы программы.
       
      Внимание! Некоторые шифровальщики будут пытаться удалить теневые копии, если Вы работаете под учетной записью Администратора! По возможности старайтесь в повседневной жизни использовать только учетную запись пользователя. В этом случае шифровальщик не сможет их удалить без запроса на повышение прав от UAC (контроля учетных записей).
       


      Заключение:


       

      Вы познакомились с основными рекомендациями по защите ваших данных от троянцев-шифровальщиков. Если у Вас есть какие-то вопросы, то Вы можете задать их ниже. Благодарю за внимание!
×
×
  • Создать...