Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

словил шифратор

Tanad
 Поделиться

Рекомендуемые сообщения

Tanad

Tanad

Опубликовано
Опубликовано

не давича как вчера поймал это счастье... 

на ПК стоят 3 HDD (80\500\500), есть много инфы и прочего барахла (фильмы, игры, музыка и т.д.), но всем этим можно пожертвовать. Но есть документы и фотографии которые очень надо вернут, их немного, но надо...

соседние темы были прочитаны и изучены, но панацеи не найдено, пишут все, что надо подходить индивидуально.

Точно сказать как поймал не могу, до этого 3 дня качал фильмы и файло (всегда с одного и того же ресурса, ни разу проблем не было, что именно скачивал сейчас и не вспомню, но всё в общем большое), ещё лазал в инете (смотрел видео и новости). К сожалению антивируса нет, когда переставлял ОС, потерял лицензию...

 

файл "козла" прилагаю (см README1.txt , на каждом жёстком таких по 10 в корне).

 

Были проделаны действия. согласно темы: "Порядок оформления запроса о помощи", автор: "Roman_Five"

 

архив автолога и рапорты ниже: 

README1.txt

CollectionLog-2015.03.24-12.21.zip

report1.log

report2.log

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\Администратор\appdata\roaming\x11\engine.exe','');
TerminateProcessByName('c:\users\Администратор\appdata\roaming\ssleas.exe');
QuarantineFile('c:\users\Администратор\appdata\roaming\ssleas.exe','');
TerminateProcessByName('c:\users\Администратор\appdata\roaming\cppredistx86.exe');
QuarantineFile('c:\users\Администратор\appdata\roaming\cppredistx86.exe','');
DeleteFile('c:\users\Администратор\appdata\roaming\cppredistx86.exe','32');
DeleteFile('c:\users\Администратор\appdata\roaming\ssleas.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
DeleteFile('C:\Users\Администратор\appdata\roaming\x11\engine.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Сделайте новые логи по правилам

Tanad

Tanad

Опубликовано
  • Автор
Опубликовано

Отправлял трижды, всяко разно и трижды получал один и тот же ответ (см. ниже)

 

"""

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

Отправленный Вами файл до нас не дошел. Возможно, он был вырезан антивирусом во время доставки.   Пожалуйста, вышлите экземпляр повторно, поместив его в архив с паролем infected.

С уважением, Лаборатория Касперского

"""


KLAN-2623401904


Новые логи после скриптов:

CollectionLog-2015.03.26-08.55.zip

report1.log

report2.log

thyrex

thyrex

Опубликовано
Опубликовано

Удалите вручную

C:\Users\Администратор\AppData\Roaming\x11

C:\Users\Администратор\AppData\Roaming\ssleas.exe
C:\Users\Администратор\AppData\Roaming\dekovir
C:\Users\Администратор\AppData\Roaming\cppredistx86.exe

 

Tanad

Tanad

Опубликовано
  • Автор
Опубликовано

Нашёл, удалил...


перезагрузил...


Не помогла, что дальше???


Наверное глупый вопрос, но какова вообще статистика успешного дешифрования??? каковы шансы?

Tanad

Tanad

Опубликовано
  • Автор
Опубликовано

Ну так бы сразу и сказали, я бы не мучался, а то пишите, что винду сносить не надо. Нафига тогда были нужны все эти заморочки если всё равно винду сносить?

Roman_Five

Roman_Five

Опубликовано
Опубликовано

 

 


а то пишите, что винду сносить не надо

 

 


если всё равно винду сносить?

 

где это написано?

  • Спасибо (+1) 1
Tanad

Tanad

Опубликовано
  • Автор
Опубликовано

Да не, это я так... расстроился просто. Не серчайте, думаете это единственный форум который я облазил...

И тем не менее, спасибо за помощь. Мой вопрос не остался без внимания, а это главное. Удачи вам, в вашем не лёгком деле.

И ещё раз спасибо.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Christofer Kalumb
      Зашифровались файлы в xtbl.
      Автор Christofer Kalumb
      Доброго времени суток
      У меня все фотографии зашифровались.Изменилось название файлов и расширение
      В корневых папках находятся файлы ReadMe с описанием шифра, там также сказано что дешифровать можно отправив сообщение сюда "deshifrovka01@gmail.com и deshifrovka@india.com" (но этого делать не желательно)
       
      Прилагаю файлы Additional и FRST, а также скринш рабочего стола.
       
      http://rghost.ru/private/8jhFLFLcf/8f5cbb91f342277c966104fa24a2429e - Additional
      http://rghost.ru/private/6LwPtqlQ2/fa068c644ff5d8d96ede19a60e3569dc - FRST
       
      Помогите пожалуйста

       
      Помогите пожалуйста
    • gluk_balda
      Залез вирус и зашифровал файлы в .xtbl
      Автор gluk_balda
      Как удалить вирус и расшифровать документы и файлы?
      README7.txt

    • Supernatural
      Мои файлы были зашифрованы.
      Автор Supernatural
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      42113A48B8345515ECCF|0
      на электронный адрес decode0987@gmail.com или decode098@gmail.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
       
       
      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      42113A48B8345515ECCF|0
      to e-mail address decode0987@gmail.com or decode098@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
    • fokusnick
      Шифровальщик XTBL
      Автор fokusnick
      Здравствуйте, буду краток.
      Позвонили вечером с работы - на экране надпись: 
        Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 48E2AC4FBBD12DAFDCA0|0 на электронный адрес decode0987@gmail.com или decode098@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 48E2AC4FBBD12DAFDCA0|0 to e-mail address decode0987@gmail.com or decode098@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.   Сказал выключить компьютер. Утром пришел, почистил автозагрузку, запустил ОС, штатный MSE в журнале показал "trojan:win32/peals.B!plock" KVRT еще сканирует (полное сканирование), пока найден Backdoor.Win32.Androm.gxwr в файле csrss.exe
      Написал письмо вымогателям, отправил файл на расшифровку. Прислали расшифрованный. Платить не собираюсь, но для общей информации денег просят 5000р.

      Зашифрованы только файлы MS Office, файлы OpenOffice живые.
      CollectionLog-2015.05.22-10.47.zip
    • reddychka
      Внимание !все важные файлы на всех дисках компьютера зашифрованы
      Автор reddychka
      Здравствуйте!
       
       
      На рабочем столе вместо фонового рисунка на чёрном фоне красными буквами: Внимание !все важные файлы на всех дисках компьютера зашифрованы, Подробности вы можете прочитать в файлах readme.txt которые можно найти на из дисков 
      А все файлы зашифровались в белиберду с расширением.xtbl,
      например вот: rfWw3-qCPp9sWKr9aa4ILQS3uyuXN75kcQ3O-LOxiwREmqXeHx8PsUr3a9GY1ELh.xtbl
       
      В многочисленных текстовиках созданных вирусом пишется вот это:
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      82C551F386DC56F5EF49|0
      на электронный адрес deshifrovka01@gmail.com или deshifrovka@india.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      82C551F386DC56F5EF49|0
      to e-mail address deshifrovka01@gmail.com or deshifrovka@india.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data. 

      Подскажите что делать!
×
×
  • Создать...