Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Вирус зашифровал файлы

Вадим Викторович

Автор Вадим Викторович
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

mike 1

mike 1

Опубликовано
Опубликовано (изменено)
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
 QuarantineFile('C:\Users\Gpnt\appdata\roaming\x11\a\engine.exe','');
 QuarantineFile('C:\Users\Gpnt\AppData\Roaming\cppredistx86.exe','');
 QuarantineFile('C:\Users\Gpnt\AppData\Local\1524990\svсhоst.exe','');
 TerminateProcessByName('c:\users\gpnt\appdata\roaming\ssleas.exe');
 QuarantineFile('c:\users\gpnt\appdata\roaming\ssleas.exe','');
 DeleteFile('c:\users\gpnt\appdata\roaming\ssleas.exe','32');
 DeleteFile('C:\Users\Gpnt\AppData\Local\1524990\svсhоst.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe');
 DeleteFile('C:\Users\Gpnt\AppData\Roaming\cppredistx86.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Visual C++ 2010');
 DeleteFile('C:\Users\Gpnt\appdata\roaming\x11\a\engine.exe','32');
 DeleteFileMask('C:\Users\Gpnt\appdata\roaming\x11', '*', true, ' ');
 DeleteDirectory('C:\Users\Gpnt\appdata\roaming\x11');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
O2 - BHO: AMD SteadyVideo BHO - {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - (no file)
O4 - Startup: Steam.lnk = ?
 
 
Сделайте новые логи Автологгером. 
 
 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
 
Изменено пользователем mike 1
Вадим Викторович

Вадим Викторович

Опубликовано
  • Автор
Опубликовано

Выполнил просьбу с Farbar Recovery Scan Tool и автологгер


Немного раньше до создания этой темы выполнил запрос на анлаиз файла KLAN-2616284391, тот который сейчас сделан еще анализируется, наверо

FRST.txt

Addition.txt

CollectionLog-2015.03.24-00.34.zip

thyrex

thyrex

Опубликовано
Опубликовано

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
     
    CreateRestorePoint:
FF Extension: ВКонтакте.ру Downloader - C:\Users\Gpnt\AppData\Roaming\Mozilla\Firefox\Profiles\ezxz8dqm.default\Extensions\vk@sergeykolosov.mp.xpi [2014-10-12]
CHR Extension: (No Name) - C:\Users\Gpnt\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2014-10-12]
CHR Extension: (No Name) - C:\Users\Gpnt\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-10-12]
CHR Extension: (No Name) - C:\Users\Gpnt\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2014-10-12]
CHR Extension: (No Name) - C:\Users\Gpnt\AppData\Local\Google\Chrome\User Data\Default\Extensions\bepbmhgboaologfdajaanbcjmnhjmhfn [2014-10-27]
CHR Extension: (No Name) - C:\Users\Gpnt\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2014-10-12]
CHR Extension: (No Name) - C:\Users\Gpnt\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2014-10-12]
CHR Extension: (No Name) - C:\Users\Gpnt\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2014-10-12]
CHR Extension: (No Name) - C:\Users\Gpnt\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-10-12]
CHR Extension: (No Name) - C:\Users\Gpnt\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2014-10-12]
2015-03-22 23:11 - 2015-03-22 23:11 - 00442896 _____ () C:\Users\Gpnt\AppData\Roaming\data13.dat
2015-03-16 18:22 - 2015-03-16 18:22 - 00000000 ____H () C:\Windows\system32\Drivers\Msft_Kernel_lgandnetadb_01005.Wdf
Reboot:
  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

 

Все установленные расширения для Firefox Вам известны?

Вадим Викторович

Вадим Викторович

Опубликовано
  • Автор
Опубликовано

вот с последнего отправленного запроса на анализ фалов KLAN-2616542478

 

пофиксил


в файерфоксе все установленные расширения мне известны


Мне почему то кажется что заражение произошло после подключения мобильного телефона LG LFino  к компьютеру (возможен ли такой путь заражения, через андроид устройства?)

Fixlog.txt

mike 1

mike 1

Опубликовано
Опубликовано

 

Мне почему то кажется что заражение произошло после подключения мобильного телефона LG LFino  к компьютеру (возможен ли такой путь заражения, через андроид устройства?)

Судя по майнеру, который был найден на вашем компьютере, заражение скорее всего произошло через взломанный софт или пиратский контент. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Samiels
      Шифровальщик файлов в XTBL
      Автор Samiels
      Здравствуйте.
      Оригинальным не буду.
      Имею домашний сервер(файловый) для хранения различного рода контента и информации, чтоб под руками не путалось и перед глазами не маячило на рабочей машине.
      Помимо этого, сервер ещё и скачивает/раздаёт торренты, серфит рекламные сайты(чтоб что-то капало.).
      Как и положено серверу - у него нет ни клавы, ни мыши, ни монитора - чисто коробка с дисками внутри, но чтобы что-то на нём делать, использую RDP, это бывает редко, но всё же.
      Сегодня утром проходя мимо системника обнаружил нездоровую активность дисков и подключился посмотреть, что же там твоирться... На рабочем столе обнаружил двадцать файлов рэдми в текствовом исполнении и надпись на фоне рабочего стола, что мои файлы зашифрованы.
      Текст в рэдми такой же, как и у "коллег по несчастью":
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      E38E006E98C52063443B|0
      на электронный адрес decode010@gmail.com или decode1110@gmail.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      E38E006E98C52063443B|0
      to e-mail address decode010@gmail.com or decode1110@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
       
       
      В директориях обнаружил файлы примерно такого XXr1WFlEnJIX4d7teGNWlxkn5aCZuTw21GtbExCnan8=.xtbl характера.
      Прогнал ремувал тулз, расшифровщиками, кюрейтом и всем подобным - результат отрицательный, кроме того ремувал нашёл два заражённых файла в док энд сеттингс/все юзеры/апп дата/.... где-то там и грохнул их. rectordecryptor находит зашифрованные, но расшифровать не может. По оценкам зараза успела загадить около 70-ти процентов файлов на всех дисках, а это солидное количество файов и объем данных - вроде как не детские шутки, тем более, что там есть очень нужные документы для работы, нужно сдавать отчёты в налоговую, а они зашифрованы.
      Вот такое вот веселье.
       
      P.S. С такой заразой уже приходилось встречатся лет десять - двенадцать назад. Спасла антивируска Касперского(отправил зашифрованный файл, обновил базы и прогнал всю систему). Работала зараза аналогично этой, за небольшим исключением - переименовывала файлы в вид "зашифрованный файл №_" и рядом создавала текстовый с таким же именем, содержание было примерно "этот файл зашифрованный и MD5 хэш". Или что-то типа того.
      CollectionLog-2015.06.04-10.45.zip
    • asapwork
      Зашифровка файлов
      Автор asapwork
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: EC9940E16249609AF059|0 на электронный адрес decodefiles1@gmail.com или decodefiles@india.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: EC9940E16249609AF059|0 to e-mail address decodefiles1@gmail.com or decodefiles@india.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.

      Скрин экрана

      http://gyazo.com/e56f7b5ff898adef17f6b520dab10301

      Логи прикрепил

      Спасибо!
      Еще увидел в подобной проблеме что вы просили проверку AdwCleaner - ом сделать
      Что бы не терять время сразу высылаю и его незнаю понадобится он или нет

       
      CollectionLog-2015.06.04-09.39.zip
      AdwCleanerR0.txt
    • Arantir414
      зашифровка файлов
      Автор Arantir414
      Зашифровались данные, поменялось расширение на xtbl.
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: A72442E7555684485F80|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: A72442E7555684485F80|0 to e-mail address decode010@gmail.com or decode1110@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.   CollectionLog-2015.05.30-15.34.zip
    • Сергей Дарноступ
      помогите расшифровать файлы и фотки
      Автор Сергей Дарноступ
      Здраствуйте, помогите пожалуйста!!!
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      F6AE60AE19E78991E8F2|0
      на электронный адрес decode0987@gmail.com или decode098@gmail.com .
      Далее вы получите все необходимые инструкции.
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
      CollectionLog-2015.06.03-20.21.zip
    • alex2015
      Ваши файлы были зашифрованы.
      Автор alex2015
      Добрый день !
      Получилась вот такая штука :
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      E2D84B5344E5F72ED502|0
      на электронный адрес decodefiles1@gmail.com или decodefiles@india.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
       
      Логи прилагаю ...
      CollectionLog-2015.06.04-14.08.zip
×
×
  • Создать...