Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Все данные на всех дисках зашифрованы ,прочитать можно в файлах README.txt

grin0883
 Поделиться

Рекомендуемые сообщения

grin0883 Новичок

grin0883

Опубликовано
Опубликовано

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
15A938D9A3CE09087A04|0
на электронный адрес decode0987@gmail.com или decode098@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
15A938D9A3CE09087A04|0
to e-mail address decode0987@gmail.com or decode098@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data

 

 

Помогите справиться с этой проблемой,запускал автологер вот что получилось прикрепляю!.

CollectionLog-2015.06.12-19.19.zipПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Users\user\AppData\Local\Yandex\browser.bat','');
QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
QuarantineFile('C:\Users\user\AppData\Local\ConvertAd\CASrv.exe','');
QuarantineFile('C:\Users\user\AppData\Roaming\VOPackage\VOsrv.exe','');
SetServiceStart('serverca', 4);
SetServiceStart('servervo', 4);
SetServiceStart('Updamter', 4);
DeleteService('Updamter');
DeleteService('servervo');
DeleteService('serverca');
TerminateProcessByName('c:\users\user\appdata\roaming\vopackage\vosrv.exe');
QuarantineFile('c:\users\user\appdata\roaming\vopackage\vosrv.exe','');
TerminateProcessByName('c:\programdata\online\updater.exe');
QuarantineFile('c:\programdata\online\updater.exe','');
TerminateProcessByName('c:\programdata\windows\csrss.exe');
QuarantineFile('c:\programdata\windows\csrss.exe','');
TerminateProcessByName('c:\users\user\appdata\local\convertad\convertad.exe');
QuarantineFile('c:\users\user\appdata\local\convertad\convertad.exe','');
DeleteFile('c:\users\user\appdata\local\convertad\convertad.exe','32');
DeleteFile('c:\programdata\windows\csrss.exe','32');
DeleteFile('c:\programdata\online\updater.exe','32');
DeleteFile('c:\users\user\appdata\roaming\vopackage\vosrv.exe','32');
DeleteFile('C:\Users\user\AppData\Roaming\VOPackage\VOsrv.exe','32');
DeleteFile('C:\Users\user\AppData\Local\ConvertAd\CASrv.exe','32');
DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BDShellExt64.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{00890530-6A9F-4be2-B1BB-73F01E2BB986}');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
DeleteFile('C:\Users\user\AppData\Local\Yandex\browser.bat','32');
DeleteFile('C:\iexplore.bat','32');
DeleteFile('C:\Windows\system32\Tasks\{B5DF3960-D656-42F1-9AB5-30DBA963140F}','64');
DeleteFile('C:\Windows\system32\Tasks\{E6C2EB69-7FE4-4C65-84A9-946F1A543CDF}','64');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\uninst.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
     
    move.gif
     
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

 

Сделайте новые логи по правилам

Ссылка на комментарий
Поделиться на другие сайты
grin0883 Новичок

grin0883

Опубликовано
  • Автор
Опубликовано

Здраствуйте!У меня не получается отправить файл  с:\quarantine.zip  по адресу newvirus@kaspersky.com,там просят прикрепить архив с паролем infected,распишите пожалуйста как это сделать.С уважением Андрей.

Ссылка на комментарий
Поделиться на другие сайты
grin0883 Новичок

grin0883

Опубликовано
  • Автор
Опубликовано

напишите поэтапно как это сделать не хочет отправлять,как создать архив с паролем и как отправить!помогите пожалуйста уже третий день ума не дам на этом этапе застрял!выручите!!!

Ссылка на комментарий
Поделиться на другие сайты
grin0883 Новичок

grin0883

Опубликовано
  • Автор
Опубликовано
Отчет о работе ClearLNK-<Дата>.log
 
OS:       x64 Windows 8.1 Single Language, 6.3.9600, Service Pack: 0
Time:     15.06.2015 - 22:26
Language: OS: RU (0x419). Display: RU (0x419). Non-Unicode: RU (0x419)
Elevated: Yes
User:     user (group: Administrator)
 
_____________________________ Начало лога ______________________________
 
[WARN] 1  "C:\Users\user\AppData\Local\Yandex\YaPin\Yandex.lnk"    -> [ "C:\Users\user\AppData\Local\Yandex\YaPin\Yandex.exe" ]   (уже вылечен)
[WARN] 2  "C:\Users\user\Favorites\Acer\Yandex.lnk"    -> [ "C:\Users\user\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" ]   (уже вылечен)
 
_________________________ Расположение иконок ________________________
 
[sKIP] "C:\Users\user\AppData\Local\Yandex\YaPin\Yandex.lnk" -> [ "C:\Users\user\AppData\Local\Yandex\yapin\yandex.ico", index=0 ]
[sKIP] "C:\Users\user\Favorites\Acer\Yandex.lnk" -> [ ".", index=1 ]
 
______________________________ Статистика ______________________________
Лечение запущено: 1 раз за сегодня.
 
Всего обработано: 2
 
  Предупреждений: 2
____________________________ Конец отчета ____________________________CRC32: 1CB988B7

Сделал новые логи

 


что мне дальше делать

CollectionLog-2015.06.15-22.34.zipПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
grin0883 Новичок

grin0883

Опубликовано
  • Автор
Опубликовано

Лог:

  Показать контент

 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Лог прикрепите на форуме, а не вставляйте простыню под спойлер. Да еще и после какого-то машинного перевода на русский язык :)
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • paradox197755
      Зашифрованы диски на сервере.
      Автор paradox197755
      Зашифрованы диски на сервере.

    • BeckOs
      Зашифрованы все файлы
      Автор BeckOs
      На компьютере зашифрованы все файлы. Атака была ночью 
      FRST.txt files.7z
    • Денис Виноградов
      Зашифровали файлы на пк и на общем диске
      Автор Денис Виноградов
      Добрый день, на выходные оставляли ПК включенным, с утра человек уже увидел картину со всеми зашифрованными файлами на пк и также на общем диске в сети. Прикрепляю исходный файл, зашифрованный и текст с требованием связаться для расшифровки файлов. Просьба подсказать, что можно придумать в данной ситуации
      files.zip
    • qwert1
      заблочили диски и файлы зашифровали (bitlocker & ooo4ps)
      Автор qwert1
      День добрый. Прошу помочь разблокировать диски и данные на них  - необходимые фалы приложил, кроме самого шифровальщика (его найти не удалось).
      При подключении к серверу с 1С все диски кроме С заблочены Битлокером, с рабочего столе самозапустился файл FILES_ENCRYPTED с сообщением о взломе.
      exampleOOO4PS.zip Addition.txt FRST.txt FILES_ENCRYPTED.txt
    • Kazantipok
      Зашифровали файлы с расширением oo4ps и диски Bitlocker
      Автор Kazantipok
      Windows Server 2019 развернут 31.01.25.
       
      До 08:24 16.02.25 все работало. Была установлена синхронизация с Dropbox диска D. После этого по логам начали удаляться все папки и файлы. С утра 17.02.25 сервер 1С не доступен, пароль Админа к серверу по RDP не подходил, сервер перезагружался (не помогло), вручную вкл./выкл. помогло, зашел под другой учеткой с админ. правами, сбросил пароль основной учетки Админ. По итогу на диске С файлы с расширением .oo4ps и два диска D и E запаролены Bitlocker.
      Помогите пожалуйста разблокировать диск E - там хранились бекапы.
      Desktop.rar FRST.txt Addition.txt
×
×
  • Создать...