Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

зашифрованы документы

shturman060173
 Поделиться

Рекомендуемые сообщения

shturman060173

shturman060173

Опубликовано
Опубликовано

Здравствуйте!

По почте было получено сообщение с вложением, после открытия которого все документы и фотографии были зашифрованы.

На рабочий стол выведено сообщение:

  Твои файлы зашифрованы, если хочешь

   всё вернуть, отправь 1 зашифрованный

                файл на эту почту:

            trojanencoder@aol.com

ВНИМАНИЕ!!! у вас есть 1 неделя что бы

  написать мне на почту, по прошествии

этого срока расшифровка станет невозможна!!!!

 

Все зашифрованные файлы имеют расширение вида ".email-trojanencoder.com.ver-CL 0.0.1.0.id-BFHRQIUHCJMYOSBGTHSPKDZSQWSFAEILEFYS-22.06.2015 8@49@348838015.randomname-TXEOWAKPZQAGAXEQFHEQGGDES.VKB.cbf"

 

Провел проверку компьютера Kaspersky Virus Removal Tool 2015 и затем запустил автоматический сборщик логов.

Результаты прикрепляю к сообщению. Очень надеюсь на вашу помощь в расшифровке.

 

CollectionLog-2015.06.23-13.13.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe','');
QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','');
QuarantineFile('C:\Program Files\notepad.exe','');
SetServiceStart('ReimageRealTimeProtector', 4);
DeleteService('ReimageRealTimeProtector');
QuarantineFile('C:\WINDOWS\system32\drivers\{76eaa25f-d535-414d-8a8b-4bce0a94d247}Gt.sys','');
TerminateProcessByName('c:\program files\reimage\reimage protector\reisystem.exe');
QuarantineFile('c:\program files\reimage\reimage protector\reisystem.exe','');
TerminateProcessByName('c:\program files\reimage\reimage protector\reiguard.exe');
QuarantineFile('c:\program files\reimage\reimage protector\reiguard.exe','');
DeleteFile('c:\program files\reimage\reimage protector\reiguard.exe','32');
DeleteFile('c:\program files\reimage\reimage protector\reisystem.exe','32');
DeleteFile('C:\WINDOWS\system32\drivers\{76eaa25f-d535-414d-8a8b-4bce0a94d247}Gt.sys','32');
DeleteFile('C:\Program Files\notepad.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
DeleteFile('C:\WINDOWS\Tasks\Reimage Reminder.job','32');
DeleteFile('C:\WINDOWS\Tasks\ReimageUpdater.job','32');
DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','32');
DeleteFile('C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Сделайте новые логи по правилам

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Карантин отправьте туда, куда Вам было указано, а не прикрепляйте к сообщению

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
B92LqRQ.png
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
HKLM\...\Run: [] => [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/?aff=p
2015-06-22 10:19 - 2015-06-22 10:19 - 00156286 _____ C:\Program Files\desk1.bmp
2015-06-22 09:19 - 2015-06-22 09:19 - 00000000 ____D C:\Program Files\QueennCouuponu
2015-06-22 09:19 - 2015-06-22 09:19 - 00000000 ____D C:\Program Files\QueenCoupOn
2015-06-22 09:18 - 2015-06-22 09:18 - 00000000 ____D C:\Program Files\QUeenCuoUpion
2015-06-19 08:55 - 2015-06-19 08:55 - 00000000 ____D C:\Program Files\dieal2deaalIt
2015-06-19 08:55 - 2015-06-19 08:55 - 00000000 ____D C:\Program Files\deal2deealit
2015-06-19 08:55 - 2015-06-19 08:55 - 00000000 ____D C:\Program Files\deal2dEalito
2015-06-25 11:38 - 2015-01-12 14:00 - 00000000 ____D C:\Program Files\Optimizer Pro 3.26
2015-06-22 10:19 - 2015-06-22 10:19 - 0156286 _____ () C:\Program Files\desk.jpg
2015-06-22 10:19 - 2015-06-22 10:19 - 0156286 _____ () C:\Program Files\desk1.bmp
2015-06-22 08:49 - 2015-06-22 10:19 - 0000080 _____ () C:\Program Files\EWZWFXEGDA.MEK
Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты
shturman060173

shturman060173

Опубликовано
  • Автор
Опубликовано

Высылаю fixlog.txt

Архив с карантином переслал по указанному адресу, получил ответ:

 [KLAN-2920132945] 

"Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.
ReimageReminder.exe
Получен неизвестный файл, он будет передан в Вирусную Лабораторию.
С уважением, Лаборатория Касперского"

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sanka
      Ваши документы, базы данных и другие файлы были зашифрованы.
      Автор sanka
      Добрый день!
       
      Просьба помочь с расшифровкой.
      Лог FRST, записка вымогателя и примеры зашифрованных файлов во вложении
      FRST.zip примеры и записка вымогателя.zip
    • Mrak
      Насколько безопасно использовать лицо и голос вместо документов
      Автор Mrak
      Всем привет! Хотел обсудить безопасность сдачи государству биометрических данных.
       
      На официальном сайте https://ebs.ru/citizens/ указаны некоторые положительные стороны. Например, при сдаче расширенной биометрии больше не надо ходить в офис оператора связи. Также можно спокойно сделать квалифицированную ЭЦП бесплатно (без ежегодных взносов, как с иными организациями).
      Плюс надо учитывать, что у государства уже есть часть данных из-за выдачи паспорта гражданина РФ и загранпаспорта РФ. Биометрические данные в неполном виде хранятся в связи с заключением договора банковского обслуживания (иначе они дистанционно не смогут обслужить, подтверждать операции по фото или голосу).
       
      Отсюда вопрос: сдавать ли самые полные биометрические данные и пользоваться всеми возможными благами (чего уже стесняться, когда часть данных уже записано?), либо повременить, ведь в случае утечки лицо и голос уже не переделать? 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
    • Media-Box
      KOZANOSTRA зашифровано
      Автор Media-Box
      Помогите пожалуйста😪 У меня также шифровальщик проник на два компьютера. Практически 11Тб фильмов и сериалов были испорчены. Это потеря потерь
      Файлы.zip
       
      Сообщение от модератора kmscom Сообщение перенесено из темы KOZANOSTRA зашифровано 2 ПК
    • quietstorm
      Зашифровано ant_dec
      Автор quietstorm
      Добрый день, зашифровало сервер на synology.
      Что самое странное полностью удалило сервер куда делалось резервное копирование hyper backup, просто при входе предлагает установить заново систему.
      Файлы с запиской в архиве во вложение пароль 123
      шифровальщик.rar
       
      Сообщение от модератора kmscom Сообщение перенесено из темы Зашифровано ant_dec
    • niktnt
      Зашифрованы BitLocker не системные диски
      Автор niktnt
      Добрый день.
      Шифровальщик загрузился на сервер из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\.
      На предположительном компьютере-источнике зашифрован и диск C:\
      Файлы о выкупе продолжают создаваться при старте системы.
      Addition.txt FRST.txt virus_bitlocker.zip
×
×
  • Создать...