Перейти к содержанию

зашифрованы документы


Рекомендуемые сообщения

Здравствуйте!

По почте было получено сообщение с вложением, после открытия которого все документы и фотографии были зашифрованы.

На рабочий стол выведено сообщение:

  Твои файлы зашифрованы, если хочешь

   всё вернуть, отправь 1 зашифрованный

                файл на эту почту:

            trojanencoder@aol.com

ВНИМАНИЕ!!! у вас есть 1 неделя что бы

  написать мне на почту, по прошествии

этого срока расшифровка станет невозможна!!!!

 

Все зашифрованные файлы имеют расширение вида ".email-trojanencoder.com.ver-CL 0.0.1.0.id-BFHRQIUHCJMYOSBGTHSPKDZSQWSFAEILEFYS-22.06.2015 8@49@348838015.randomname-TXEOWAKPZQAGAXEQFHEQGGDES.VKB.cbf"

 

Провел проверку компьютера Kaspersky Virus Removal Tool 2015 и затем запустил автоматический сборщик логов.

Результаты прикрепляю к сообщению. Очень надеюсь на вашу помощь в расшифровке.

 

CollectionLog-2015.06.23-13.13.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe','');
QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','');
QuarantineFile('C:\Program Files\notepad.exe','');
SetServiceStart('ReimageRealTimeProtector', 4);
DeleteService('ReimageRealTimeProtector');
QuarantineFile('C:\WINDOWS\system32\drivers\{76eaa25f-d535-414d-8a8b-4bce0a94d247}Gt.sys','');
TerminateProcessByName('c:\program files\reimage\reimage protector\reisystem.exe');
QuarantineFile('c:\program files\reimage\reimage protector\reisystem.exe','');
TerminateProcessByName('c:\program files\reimage\reimage protector\reiguard.exe');
QuarantineFile('c:\program files\reimage\reimage protector\reiguard.exe','');
DeleteFile('c:\program files\reimage\reimage protector\reiguard.exe','32');
DeleteFile('c:\program files\reimage\reimage protector\reisystem.exe','32');
DeleteFile('C:\WINDOWS\system32\drivers\{76eaa25f-d535-414d-8a8b-4bce0a94d247}Gt.sys','32');
DeleteFile('C:\Program Files\notepad.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
DeleteFile('C:\WINDOWS\Tasks\Reimage Reminder.job','32');
DeleteFile('C:\WINDOWS\Tasks\ReimageUpdater.job','32');
DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','32');
DeleteFile('C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Сделайте новые логи по правилам

Ссылка на комментарий
Поделиться на другие сайты

Карантин отправьте туда, куда Вам было указано, а не прикрепляйте к сообщению

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
B92LqRQ.png
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
HKLM\...\Run: [] => [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/?aff=p
2015-06-22 10:19 - 2015-06-22 10:19 - 00156286 _____ C:\Program Files\desk1.bmp
2015-06-22 09:19 - 2015-06-22 09:19 - 00000000 ____D C:\Program Files\QueennCouuponu
2015-06-22 09:19 - 2015-06-22 09:19 - 00000000 ____D C:\Program Files\QueenCoupOn
2015-06-22 09:18 - 2015-06-22 09:18 - 00000000 ____D C:\Program Files\QUeenCuoUpion
2015-06-19 08:55 - 2015-06-19 08:55 - 00000000 ____D C:\Program Files\dieal2deaalIt
2015-06-19 08:55 - 2015-06-19 08:55 - 00000000 ____D C:\Program Files\deal2deealit
2015-06-19 08:55 - 2015-06-19 08:55 - 00000000 ____D C:\Program Files\deal2dEalito
2015-06-25 11:38 - 2015-01-12 14:00 - 00000000 ____D C:\Program Files\Optimizer Pro 3.26
2015-06-22 10:19 - 2015-06-22 10:19 - 0156286 _____ () C:\Program Files\desk.jpg
2015-06-22 10:19 - 2015-06-22 10:19 - 0156286 _____ () C:\Program Files\desk1.bmp
2015-06-22 08:49 - 2015-06-22 10:19 - 0000080 _____ () C:\Program Files\EWZWFXEGDA.MEK
Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Высылаю fixlog.txt

Архив с карантином переслал по указанному адресу, получил ответ:

 [KLAN-2920132945] 

"Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.
ReimageReminder.exe
Получен неизвестный файл, он будет передан в Вирусную Лабораторию.
С уважением, Лаборатория Касперского"

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • sanka
      Автор sanka
      Добрый день!
       
      Просьба помочь с расшифровкой.
      Лог FRST, записка вымогателя и примеры зашифрованных файлов во вложении
      FRST.zip примеры и записка вымогателя.zip
    • Mrak
      Автор Mrak
      Всем привет! Хотел обсудить безопасность сдачи государству биометрических данных.
       
      На официальном сайте https://ebs.ru/citizens/ указаны некоторые положительные стороны. Например, при сдаче расширенной биометрии больше не надо ходить в офис оператора связи. Также можно спокойно сделать квалифицированную ЭЦП бесплатно (без ежегодных взносов, как с иными организациями).
      Плюс надо учитывать, что у государства уже есть часть данных из-за выдачи паспорта гражданина РФ и загранпаспорта РФ. Биометрические данные в неполном виде хранятся в связи с заключением договора банковского обслуживания (иначе они дистанционно не смогут обслужить, подтверждать операции по фото или голосу).
       
      Отсюда вопрос: сдавать ли самые полные биометрические данные и пользоваться всеми возможными благами (чего уже стесняться, когда часть данных уже записано?), либо повременить, ведь в случае утечки лицо и голос уже не переделать? 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
    • Media-Box
      Автор Media-Box
      Помогите пожалуйста😪 У меня также шифровальщик проник на два компьютера. Практически 11Тб фильмов и сериалов были испорчены. Это потеря потерь
      Файлы.zip
       
      Сообщение от модератора kmscom Сообщение перенесено из темы KOZANOSTRA зашифровано 2 ПК
    • quietstorm
      Автор quietstorm
      Добрый день, зашифровало сервер на synology.
      Что самое странное полностью удалило сервер куда делалось резервное копирование hyper backup, просто при входе предлагает установить заново систему.
      Файлы с запиской в архиве во вложение пароль 123
      шифровальщик.rar
       
      Сообщение от модератора kmscom Сообщение перенесено из темы Зашифровано ant_dec
    • komma77
      Автор komma77
      Добрый день. Зашифрованы сервер и компьютеры.  
      файлы и записка.zip Addition.txt FRST.txt
×
×
  • Создать...