Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Важные файлы зашифрованны

Радий Логачёв

Автор Радий Логачёв
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Радий Логачёв Новичок

Радий Логачёв

Опубликовано
Опубликовано (изменено)

Здравствуйте, поймал вирус, зашифровались все файлы! на рабочем столе поставилась заставка "Внимание! Все важные файлы на всех дисках были зашифрованы. Подробности вы можете прочитать в файлах readme.txt, которые можно найти на дисках."

CollectionLog-2015.07.09-00.38.zip

Изменено пользователем Радий Логачёв
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке
move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\users\user\appdata\local\smartweb\smartwebhelper.exe');
 TerminateProcessByName('c:\users\user\appdata\local\smartweb\smartwebapp.exe');
 TerminateProcessByName('c:\program files (x86)\24seven savings\24seven_savings_notification_service.exe');
 TerminateProcessByName('c:\program files (x86)\cinemaplus-3.2cv21.04\936023c0-5f54-4371-97a0-5398219cf5ab-10.exe');
 TerminateProcessByName('c:\program files (x86)\cinemaplus-3.2cv21.04\936023c0-5f54-4371-97a0-5398219cf5ab-1-6.exe');
 SetServiceStart('TS888x64', 4);
 SetServiceStart('SPDRIVER_1.42.0.1779', 4);
 SetServiceStart('QMUdisk', 4);
 StopService('AdBlockerService');
 QuarantineFile('c:\program files (x86)\kingsoft\kingsoft antivirus\uni0nst.exe','');
 QuarantineFile('C:\Users\user\AppData\Roaming\luckysearches\*','');
 QuarantineFile('C:\PROGRA~2\YOUTUB~1*','');
 QuarantineFile('C:\Program Files (x86)\ShopperPro\*','');
 QuarantineFile('C:\Program Files (x86)\SensePlus\*','');
 QuarantineFile('C:\Program Files (x86)\iWebar\*','');
 QuarantineFile('C:\Program Files (x86)\AnyProtectEx\*','');
 QuarantineFile('C:\Program Files (x86)\24Seven savings\*','');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Program Files (x86)\AdBlocker\*','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\Smb_driver_Intel.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\innfd_1_10_0_13.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\TS888x64.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\QMUdisk64.sys','');
 QuarantineFile('C:\WINDOWS\system32\CCL.dll','');
 QuarantineFile('C:\Users\user\AppData\Local\SmartWeb\*','');
 QuarantineFile('c:\program files (x86)\cinemaplus-3.2cv21.04\*','');
 DeleteFileMask('c:\program files (x86)\cinemaplus-3.2cv21.04\','*', true, '');
 DeleteDirectory('c:\program files (x86)\cinemaplus-3.2cv21.04\ ',' ');
 DeleteFileMask('C:\Program Files (x86)\Tencent\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\Tencent\ ',' ');
 DeleteFileMask('C:\Program Files (x86)\ShopperPro\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\ShopperPro\ ',' ');
 DeleteFile('C:\Users\user\AppData\Local\Yandex\browser.bat','32');
 DeleteFile('C:\Users\user\AppData\Roaming\Browsers\exe.resworb.bat','32');
 DeleteFile('C:\iexplore.bat','32');
 DeleteFile('C:\WINDOWS\Tasks\24seven_savings_notification_service.job','64');
 DeleteFileMask('C:\Program Files (x86)\24Seven savings\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\24Seven savings\ ',' ');
 DeleteFile('C:\WINDOWS\Tasks\24seven_savings_updating_service.job','64');
 DeleteFile('C:\WINDOWS\Tasks\936023c0-5f54-4371-97a0-5398219cf5ab-1-6.job','64');
 DeleteFile('C:\WINDOWS\Tasks\936023c0-5f54-4371-97a0-5398219cf5ab-10_user.job','64');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job','64');
 DeleteFileMask('C:\Program Files (x86)\AnyProtectEx\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\AnyProtectEx\ ',' ');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job','64');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job','64');
 DeleteFile('C:\WINDOWS\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-1-6.job','64');
 DeleteFile('C:\WINDOWS\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-1-7.job','64');
 DeleteFile('C:\WINDOWS\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-5.job','64');
 DeleteFile('C:\WINDOWS\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-5_user.job','64');
 DeleteFile('C:\WINDOWS\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-1-6.job','64');
 DeleteFile('C:\WINDOWS\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-1-7.job','64');
 DeleteFile('C:\WINDOWS\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-5.job','64');
 DeleteFile('C:\WINDOWS\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-5_user.job','64');
 DeleteFileMask('C:\Program Files (x86)\iWebar\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\iWebar\ ',' ');
 DeleteFile('C:\WINDOWS\system32\Tasks\24seven_savings_notification_service','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\24seven_savings_updating_service','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\936023c0-5f54-4371-97a0-5398219cf5ab-1-6','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\936023c0-5f54-4371-97a0-5398219cf5ab-10_user','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP1','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP2','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP3','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-1-6','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-1-7','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-11','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-5','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-5_user','64');
 DeleteFileMask('C:\Program Files (x86)\SensePlus\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\SensePlus\',' ');
 DeleteFile('C:\WINDOWS\system32\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-1-6','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-1-7','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-11','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-5','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-5_user','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\ShopperPro','64');
 DeleteFileMask('C:\Program Files (x86)\ShopperPro\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\ShopperPro\',' ');
 DeleteFile('C:\WINDOWS\system32\Tasks\ShopperProJSUpd','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\YTAUpdate','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\YTAUpdate_logon','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\SPDriver','64');
 DeleteFileMask('C:\PROGRA~2\YOUTUB~1\','*', true, '');
 DeleteDirectory('C:\PROGRA~2\YOUTUB~1\',' ');
 DeleteFile('C:\WINDOWS\system32\Tasks\{17BF5D82-C054-48AD-83C6-A098FA086CA2}','64');
 DeleteFileMask('C:\Users\user\AppData\Roaming\luckysearches\','*', true, '');
 DeleteDirectory('C:\Users\user\AppData\Roaming\luckysearches\ ',' ');
 DeleteFile('C:\WINDOWS\system32\Tasks\{E3536241-02A2-4379-B32D-B2A5ED23FF8C}','64');
 DeleteFile('c:\program files (x86)\kingsoft\kingsoft antivirus\uni0nst.exe','32');
 DeleteFileMask('c:\program files (x86)\adblocker\','*', true, '');
 DeleteDirectory('c:\program files (x86)\adblocker\ ',' ');
 DeleteFileMask('C:\Users\user\appdata\local\smartweb\','*', true, '');
 DeleteDirectory('C:\Users\user\appdata\local\smartweb\ ',' ');
 DeleteFile('C:\WINDOWS\system32\ccl.dll','32');
 DelBHO('0633EE93-D776-472f-A0FF-E1416B8B2E3D');
 DelBHO('FCE3FA8B-BA81-467C-81D8-E43C00D1BC71');
 DelCLSID('754DF2CE-51E8-4895-B53C-6381418B84AE');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb');
 DeleteService('TS888x64');
 DeleteService('SPDRIVER_1.42.0.1779');
 DeleteService('QMUdisk');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e686631368c41a2128f86a9e0c8bac22&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e686631368c41a2128f86a9e0c8bac22&text=
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O2 - BHO: YTAHelperBHO - {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} - (no file)
O4 - HKLM\..\Run: [SmartWeb] C:\Users\user\AppData\Local\SmartWeb\SmartWebHelper.exe
O4 - Startup: SmartWeb.lnk = C:\Users\user\AppData\Local\SmartWeb\SmartWebHelper.exe
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e686631368c41a2128f86a9e0c8bac22&text=
 
 
Сделайте новые логи по правилам (только пункт 2).

+ логи MBAM и ADwCleaner

 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635256

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • BeckOs
      Зашифрованы все файлы
      Автор BeckOs
      На компьютере зашифрованы все файлы. Атака была ночью 
      FRST.txt files.7z
    • Andrey_ka
      зашифрованные файлы
      Автор Andrey_ka
      Добрый день! Может , кто подскажет... попался диск с архивами одного предприятия , диск стоял на NAS Iomega, со временем hdd был поврежден , но данные с него я смог вытащить , файловая структура целая , но как выяснилось ни один из файлов нормально не открывается, уточни у бывших работников и выяснил , что еще до того как он умер у них начались подобные проблемы и большую часть информации они успели переписать ( все указывает на работу вируса шифровальщика) , взяв несколько файлов попытался онлайн прогнать разными анализаторами вирусов , результат один вирусов не обнаружено ... теперь о самих файлах - неважно это файлы doc, docx, pdf и т.д. тенденция прослеживается такая, начало файла смещение 0x2E0 защифрованно, в конец файла добавлено 1126 байт , код начинается D9 9D 68 и полностью одинаковы во всех файлах кроме последних 0x84 байта. Ни то, что бы информация очень востребована , любопытно, что это за вирус и тд... если кому интересно , образцы файлов выложу и дамп концовки ....    
          вставить выделенную цитату в окно ответа
            xТитульный.docx Титульный.docx titdump.txt
    • Red13107
      проблема с расшифровкой файлов
      Автор Red13107
      Здраствуйте, не получается расшифровать 23 файла с помощью shadedecryptor. пишет ошибка и не может подобрать ключ.
      Addition.txt FRST.txt README1.txt Новая папка.rar
    • M_X
      Запрос на помощь в расшифровке файлов
      Автор M_X
      Здравствуйте. Зашифровали файлы... 
      Скорее всего проникли через RDP...
      Сам шифровальщик не обнаружал....
      Установленный антивирус - не отработал и был также зашифрован (symantec) .. После установил MalWarebytes.
      FRST.txt Addition.txt Desktop.rar
    • Peter15
      Можно ли записать звук в файл из Virtualbox?
      Автор Peter15
      В Virtualbox гостевая система -- Windows 98. Можно ли как-то звук, воспроизводящийся на гостевой системе, записать в файл?
×
×
  • Создать...