Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Шифровка всех важных файлов компьютера неведомой заразой.

warg24
 Поделиться

Рекомендуемые сообщения

warg24 Новичок

warg24

Опубликовано
Опубликовано

Ребята кто нибудь, помогите. Включил вечером комп. начались проблемы. Сначала не удавалось к сети интернет подключиться, все запрашивал пароль от wi-fi. Потом через некоторое время появилась черная заставка с неприятным текстом от том что все файлы были зашифрованы((( все они теперь с расширением xtbl... Также имеются текстовые файлы с таким вот текстом. 

 

 Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:
FAA4417C82D5F25AC88F|0
на электронный адрес decode010@gmail.com или decode1110@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
FAA4417C82D5F25AC88F|0
to e-mail address decode010@gmail.com or decode1110@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
 
 
Что делать? Подскажите!

post-35519-0-00702200-1439477024_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
warg24 Новичок

warg24

Опубликовано
  • Автор
Опубликовано

Всем привет! Недавно произошла беда с моим ноутом. Все файлы были зашифрованы и открыть их уже не возможно. Также имеются текстовые документы вот с таким текстом: 

 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
FAA4417C82D5F25AC88F|0
на электронный адрес decode010@gmail.com или decode1110@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
FAA4417C82D5F25AC88F|0
to e-mail address decode010@gmail.com or decode1110@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
 
По рекомендациям с этого форума я провел проверку утилитой dr.Web и автоматическим сборщиком логов. Данные о проверке прилагаются.

post-35519-0-41264000-1439562634_thumb.jpg

CollectionLog-2015.08.14-22.16.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\Adm\appdata\roaming\ssleas.exe','');
QuarantineFile('C:\Users\Adm\local settings\application data\ExtensionInstaller_17\extinst.exe','');
QuarantineFile('C:\Users\Adm\local settings\application data\ExtensionInstaller_17\config.json','');
QuarantineFile('C:\Users\Adm\AppData\Roaming\jtwuuehd\bidhjwhr.exe','');
QuarantineFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','');
QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
DeleteFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','32');
DeleteFile('C:\Users\Adm\AppData\Roaming\jtwuuehd\bidhjwhr.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Icaros');
DeleteFile('C:\Windows\system32\Tasks\ExtensionInstallerX_17','32');
DeleteFile('C:\Users\Adm\local settings\application data\ExtensionInstaller_17\config.json','32');
DeleteFile('C:\Users\Adm\local settings\application data\ExtensionInstaller_17\extinst.exe','32');
DeleteFile('C:\Users\Adm\appdata\roaming\ssleas.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты
warg24 Новичок

warg24

Опубликовано
  • Автор
Опубликовано

Отправил, жду ответа.... простите а что за правила надо еще раз выполнить?


Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\Adm\appdata\roaming\ssleas.exe','');
QuarantineFile('C:\Users\Adm\local settings\application data\ExtensionInstaller_17\extinst.exe','');
QuarantineFile('C:\Users\Adm\local settings\application data\ExtensionInstaller_17\config.json','');
QuarantineFile('C:\Users\Adm\AppData\Roaming\jtwuuehd\bidhjwhr.exe','');
QuarantineFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','');
QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
DeleteFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','32');
DeleteFile('C:\Users\Adm\AppData\Roaming\jtwuuehd\bidhjwhr.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Icaros');
DeleteFile('C:\Windows\system32\Tasks\ExtensionInstallerX_17','32');
DeleteFile('C:\Users\Adm\local settings\application data\ExtensionInstaller_17\config.json','32');
DeleteFile('C:\Users\Adm\local settings\application data\ExtensionInstaller_17\extinst.exe','32');
DeleteFile('C:\Users\Adm\appdata\roaming\ssleas.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[KLAN-3052560194]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

bcqr00007.dat,
bcqr00008.dat,
bidhjwhr.exe,
csrss.exe - Trojan.Win32.VBKrypt.vqwe

Детектирование файлов будет добавлено в следующее обновление.

extinst.exe

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

ssleas.exe

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского


Вот если я правильно вас понял, новые логи

CollectionLog-2015.08.14-23.35.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
OPR Extension: (mnogoskidki) - C:\Users\Adm\AppData\Roaming\Opera Software\Opera Stable\Extensions\ehnoeapmjohiaoimcmgcokgoinedjgjn [2015-08-13]
OPR Extension: (Куппоинт — бесплатные промокоды) - C:\Users\Adm\AppData\Roaming\Opera Software\Opera Stable\Extensions\elnienecnfdcjgdemhnajjokjbkkppkm [2015-07-27]
2015-08-13 22:08 - 2015-08-13 22:08 - 03148854 _____ C:\Users\Adm\AppData\Roaming\41BD1A0941BD1A09.bmp
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Public\Desktop\README9.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Public\Desktop\README8.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Public\Desktop\README7.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Public\Desktop\README6.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Public\Desktop\README5.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Public\Desktop\README4.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Public\Desktop\README3.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Public\Desktop\README2.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Public\Desktop\README10.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Public\Desktop\README1.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Adm\Desktop\README9.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Adm\Desktop\README8.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Adm\Desktop\README7.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Adm\Desktop\README6.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Adm\Desktop\README5.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Adm\Desktop\README4.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Adm\Desktop\README3.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Adm\Desktop\README2.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Adm\Desktop\README10.txt
2015-08-13 11:56 - 2015-08-14 23:02 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-08-13 11:56 - 2015-08-14 23:02 - 00000000 __SHD C:\ProgramData\Windows
2015-08-13 11:20 - 2015-08-13 11:20 - 00371216 _____ C:\Users\Adm\AppData\Roaming\data13.dat
2015-08-14 23:02 - 2015-07-08 15:51 - 00000000 __SHD C:\Users\Adm\AppData\Roaming\jtwuuehd
2015-08-13 23:41 - 2015-07-10 22:44 - 00000000 ____D C:\Users\Adm\AppData\Local\Mnogoskidki
2015-08-13 23:41 - 2015-07-10 22:44 - 00000000 ____D C:\Users\Adm\AppData\Local\Cupoint
2015-08-13 12:06 - 2015-07-10 22:44 - 00000000 ____D C:\Users\Adm\AppData\Local\ExtensionInstaller_17
Task: {25FE5D87-6018-4FA4-81E1-3B78DBED5A89} - \ExtensionInstallerX_17 -> No File <==== ATTENTION
Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Что важно знать о CVSS для эффективной защиты своих ИТ-активов
      Автор KL FC Bot
      В этом году исполнилось 20 лет системе CVSS — Common Vulnerability Scoring System, ставшей общепризнанным стандартом описания уязвимостей. Несмотря на десятилетия использования и четыре поколения стандарта (на сегодня внедрена версия 4.0), рейтингом CVSS продолжают пользоваться неправильно, а вокруг самой системы порой бушуют серьезные споры. Что важно знать о CVSS для эффективной защиты своих ИТ-активов?
      База CVSS
      Как пишут в документации CVSS разработчики системы, CVSS — инструмент описания характеристик и серьезности уязвимостей в программном обеспечении. CVSS поддерживается форумом специалистов по ИБ и реагированию на инциденты (FIRST) и была создана для того, чтобы эксперты говорили об уязвимостях на одном языке, а данные о программных дефектах было легче обрабатывать автоматически. Практически каждая уязвимость, опубликованная в реестрах уязвимостей (CVE, БДУ, EUVD, CNNVD), содержит оценку серьезности по шкале CVSS.
      Эта оценка состоит из двух основных компонентов:
      числовой рейтинг (CVSS score), отражающий серьезность уязвимости по шкале от 0 до 10, где 10 — максимально опасная, критическая уязвимость; вектор — стандартизованная текстовая строка, описывающая основные характеристики уязвимости: можно ли ее эксплуатировать по сети или только локально, нужны ли для этого повышенные привилегии, насколько сложно эксплуатировать уязвимость, на какие характеристики уязвимой системы влияет эксплуатация уязвимости (доступность, целостность конфиденциальность) и так далее. Вот как выглядит в этой нотации опасная и активно эксплуатировавшаяся уязвимость CVE-2021-44228 (Log4Shell):
      Base score 10.0 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).
       
      View the full article
    • Technician6
      Не переносятся компьютеры в группу.
      Автор Technician6
      Имеем корп сервер KSC14 - компьютеры видны, но в управляемых, когда переносишь их в нужную группу, они просто не переносятся и вываливается ошибка как на скрине.

       
      ни через веб интерфейс ни через консоль не переносится. Вопрос, как исправить?
    • Reshat
      Зашифровали компьютер
      Автор Reshat
      Добрый день!Зашифровали компьютер с файлами пишут:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by KOZANOSTRA
      Your decryption ID is <ID>*KOZANOSTRA-<ID>
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - vancureez@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Файлы скана прикрепляю к сообщению.
      Addition.txt FRST.txt
    • 4tetree
      Зашифровали компьютер
      Автор 4tetree
      Добрый день!Зашифровали компьютер с файлами пишут:
       
      ссылка удалена ссылка на скачивание двух зараженных файлов
    • Alexxxxx
      У меня РАТ файл
      Автор Alexxxxx
      Я установил РАТ файл случайно 
      По ту сторону вируса со мной связался человек он говорит что у меня установлен dropper и bootkit вместе с rat вирусом он пытался получить доступ к аккаунтам , у некоторых я поменял пароль и отключил интернет кабель, что мне делать
×
×
  • Создать...