Перейти к содержанию

Помогите. Шифровальщик

baza450
 Поделиться

Рекомендуемые сообщения

baza450

baza450

Опубликовано
Опубликовано

Добрый день. Зашифровало документы. Расширение всех документов теперь *.Lqroqia

Как лечить эту напасть.

Я не знаю, какую еще необходимо прикладывать информацию. Первый раз на вашем форуме и первый раз столкнулся с такой проблемой.


Читаю "Чаво". выполню размещенные там рекомендации и прикреплю к теме

baza450

baza450

Опубликовано
  • Автор
Опубликовано

Добрый день. Во вложении Collection log

Небольшое отступление. Письмо с вредоносным ПО было удалено. Но при сканировании одним из антивирусов в темпах были обнаружены два exe файла которые совпадали по датам и времени с происшествием. Они были удалены (есть архив с ними). Что интересно, до этого сканировал систему CureIt  и он их не увидел. Так же там лежал временный файл. Название непонятное, размер целый Гигабайт, по дате и времени тоже совпадает с происшествием.

CollectionLog-2015.04.29-10.26.zip

mike 1

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

 QuarantineFile('C:\WINDOWS\TEMP\hnkepwj.exe','');

 DeleteFile('C:\WINDOWS\Tasks\At1.job','32');

 DeleteFile('C:\WINDOWS\Tasks\ydzgkra.job','32');

 DeleteFile('C:\WINDOWS\TEMP\hnkepwj.exe','32');

ExecuteSysClean;

RebootWindows(true);

end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 




R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://sindex.biz/?company=1

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)


 

 

Сделайте новые логи Автологгером. 

 

 





  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.


  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.


  • Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 


 

baza450

baza450

Опубликовано
  • Автор
Опубликовано (изменено)

Сейчас выполню все инструкции, но указанный экзешник могу прямо сейчас прислать. я их ранее заархивировал... они во вложении. Пароль virus


И когда перехожу по ссылке на форму там необходимо залогиниться. форма доступна только зарегистрированным пользователям?

Изменено пользователем mike 1
Карантин в теме.
mike 1

mike 1

Опубликовано
Опубликовано

 

 

 форма доступна только зарегистрированным пользователям?

Нет. Отправьте карантин на newvirus@kaspersky.com

baza450

baza450

Опубликовано
  • Автор
Опубликовано

Это ответ на запрос через форму.

newvirus@kaspersky.com — Re: [VirLabSRF][undetected malware sample][M:1][LN:ru][L:0] [KLAN-2723230868]

Подробнее
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

hnkepwj.exe,
typu.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"
 

Все выполнил.


Скажите, есть надежда расшифровать файлы?

AdwCleanerR0.txt

CollectionLog-2015.04.29-15.33.zip

baza450

baza450

Опубликовано
  • Автор
Опубликовано

Добрый день. Так все таки,  есть надежда расшифровать файлы?

mike 1

mike 1

Опубликовано
Опубликовано (изменено)

Никакой. Это CTB Locker поэтому без шансов.

Изменено пользователем mike 1
mike 1

mike 1

Опубликовано
Опубликовано

Отчет после очистки в AdwCleaner прикрепите.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KNS
      Помогите с шифровальщиком
      Автор KNS
      Добрый день. Поймал шифровальщика, система и 99% данных восстановлены из бэкапа.
      Не хватает нескольких файлов.

      Помогите с расшифровкой.

      Прикрепляю пример зашифрованного файла и записку о выкупе.

      Заранее благодарю!
      123.zip
    • darksimpson
      Помогите пожалуйста с шифровальщиком
      Автор darksimpson
      Добрый день.

      Помогите пожалуйста с определением зловреда и, возможно, с расшифровкой.

      Прикрепляю архив с логами FRST, двумя зашифрованными файлами и запиской.

      Спасибо!
      p4.zip
    • NikiGromel
      Помогите с шифровальщиком, может кто сталкивался
      Автор NikiGromel
      Сообщение от взломщика:
      YOUR FILES HAVE BEEN ENCRYPTED <<<
      Your Data Is Encrypted. Use Our Tool To Recover Them. No Alternatives Exist.
      Your Decryption ID: 365B91AF
      Contact:
      - Email: opnkey@gmail.com
      - Telegram: @pcrisk
      Warning:  
      - Tampering With Files Or Using Third-Party Tools WILL Cause Permanent Damage.  
      - Don't Waste Time. The Price Will Rise If You Delay!
      Free Decryption:
      - Send 3 Small Files (Max 1MB) For Free Decryption.
       
      Прикрепляю два зашифрованных файла
      Desktop.rar
    • Andreypresnetcov
      Помогите с шифровальщиком *qy98nm2ssd
      Автор Andreypresnetcov
      Добрый день, прошу помощи зашифрован сервер  шифровальшик изменил все файлы на расширение *qy98nm2ssd
      в приложении также прилагаю письмо с требованием выкупа
      Instruction.txt Desktop.rar
    • Кама
      Помогите с шифровальщиком .Rabbit
      Автор Кама
      Зашифрованны текстовые файлы и файлы баз 1с
      Your ID: A8BDFFDCBFB04A14
      *** This notification indicates that your system has been ENCRYPTED. ***
      If you want to return your files, contact us at the email addresses below.
      Put your ID in the subject line of your email. Otherwise, we will not respond to your messages.
      Black.Rabbit@onionmai.org
      Black.Rabbit@skiff.com
      If you don't pay the ransom, the data will be published on our TOR darknet sites.
      Keep in mind that as soon as your data appears on our leaked site, it can be bought by your competitors at any moment.
      We are the only ones who have the decryption tool. Beware of any organization or individual that claims they can decrypt your data without paying us.
      They just trick you and get more money from you as a result.
      All of them contact us and buy the decryption tool from us.
      What is the guarantee that we will not cheat you?
      Send us a small encrypted file to the listed emails.
      2 files we unlock for free (under 5MB that do not include sensitive information) To confirm our honest intentions.
      We will decrypt these files and send them back to you as evidence.
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Интервью с экспертами «Лаборатории Касперского»"
×
×
  • Создать...