Перейти к содержанию

Зашифровали файлы.


Рекомендуемые сообщения

Добрый день. Принесли ноутбук, на котором зашифрованы файлы (в основном изображения и документы). Что я сделал:

 

1. Очистил от всех временных файлов.

2. Почистил автозагрузку, службы, планировщик.

3. Прошелся CureIt

4. Собрал логи.

 

На данный момент подозрительной активности не заметно, но основная проблема - попытаться расшифровать файлы, возможно ли это? Спасибо.

 

В файлах Readme написана вот такая инфа:

 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
406D46D2AAF6030133D1|272|2|15
на электронный адрес post8881@gmail.com или post24932@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
 
На всякий случай прилагаю логи и от FRST.

CollectionLog-2015.07.12-15.56.zip

frst.rar

Изменено пользователем mspuz
Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Users\User\AppData\Local\Yandex\browser.bat','');
QuarantineFile('C:\Windows\system32\drivers\wfd_1_10_0_19.sys','');
DeleteService('wfd_1_10_0_19');
DeleteFile('C:\Windows\system32\drivers\wfd_1_10_0_19.sys','32');
DeleteFile('C:\Users\User\AppData\Local\Yandex\browser.bat','32');
DeleteFile('C:\iexplore.bat','32');
DeleteFile('C:\Windows\Tasks\At1.job','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
 
move.gif
 
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

 

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

@thyrex, Выполнил скрипт, после перезагрузки выполнил скрипт формирования quarantine.zip. В результате получил пустой архив. После этого проделал манипуляции с ClearLNK. Снова выполнил сбор логов.

CollectionLog-2015.07.12-21.51.zip

ClearLNK-12.07.2015_21-34.log

Ссылка на комментарий
Поделиться на другие сайты

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1435847505&z=eccda5f0ba2e53ff956c48egdz2c3webdw1geg4ebo&from=cor&uid=ST320LT020-9YG142_W0485KV3&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1435847505&z=eccda5f0ba2e53ff956c48egdz2c3webdw1geg4ebo&from=cor&uid=ST320LT020-9YG142_W0485KV3&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1435847505&z=eccda5f0ba2e53ff956c48egdz2c3webdw1geg4ebo&from=cor&uid=ST320LT020-9YG142_W0485KV3&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1435847505&z=eccda5f0ba2e53ff956c48egdz2c3webdw1geg4ebo&from=cor&uid=ST320LT020-9YG142_W0485KV3&q={searchTerms}
HKU\S-1-5-21-28039425-2071745047-2723515337-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=dspp&ts=1435847563&z=0e64b8615d5cd734676b4d0g8z2cdw1bbw7g4g0q5e&from=cor&uid=ST320LT020-9YG142_W0485KV3&q={searchTerms}
SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> AB96EF7121787A06494539E673223D6B URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> {2B4A686F-1C15-42C6-B95A-32FF992E0B5C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> {8D7BCC95-4B3A-4597-B533-7B32EBE22488} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> {9AA004CF-1E45-457A-BC7D-C50740405F16} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms}
BHO: No Name -> {10921475-03CE-4E04-90CE-E2E7EF20C814} ->  No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=9e9a25261139f17be728e297ec511577&text= <==== ATTENTION
Tcpip\..\Interfaces\{33ED3E17-98FC-4BBC-8165-8B3D3C453984}: [NameServer] 37.10.116.203,8.8.8.8
FF Extension: Универсальный перевод для FireFox - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\3jovdkb7.default\Extensions\translator@zoli.bod [2015-07-02]
2015-07-08 15:58 - 2015-07-08 15:58 - 04320054 _____ C:\Users\User\AppData\Roaming\706AF632706AF632.bmp
2015-07-05 11:22 - 2015-07-05 11:22 - 00000175 _____ C:\Users\User\Desktop\Искать в Интернете.url
2015-07-05 11:22 - 2015-07-05 11:22 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт
2015-07-05 11:37 - 2015-07-05 11:37 - 00000000 ____D C:\Users\User\AppData\Roaming\TSearch
2015-07-05 11:23 - 2015-07-05 11:28 - 00000000 ____D C:\Users\User\AppData\Roaming\Obnovi Soft
2015-07-02 13:42 - 2015-07-12 15:32 - 00000000 ____D C:\Users\User\AppData\Local\ExtensionInstaller_14
2015-07-02 13:42 - 2015-07-10 01:28 - 00000000 ____D C:\Users\User\AppData\Roaming\ASPackage
2015-07-02 13:42 - 2009-06-11 01:00 - 00000824 _____ C:\Windows\system32\Drivers\etc\hp.bak
2015-07-02 13:41 - 2015-07-12 15:32 - 00000000 ____D C:\Users\User\AppData\Roaming\eTranslator
C:\ProgramData\help.bat
C:\Users\Все пользователи\help.bat
Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...