Вирус зашифровал doc и xls

2 сентября, 2015

Здравствуйте. Вирус зашифровал частично документы, запускается каждый раз при включении компьютера. Открыт был из входящего письма в почте. Так же выводит сообщение на скачивание браузера и перехода в нем на ссылку, пройдя авторизацию через файл Vault.key, прикрепляю логи. Нашел несколько файлов с расширением GPG, Scriping.gpg имеет нулевой размер (0 Kb.)

CollectionLog-2015.09.02-08.24.zip

2 сентября, 2015

Выполните скрипт в AVZ

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

 then

  begin

   SearchRootkit(true, true);

   SetAVZGuardStatus(True);

  end;



 QuarantineFile('C:\DOCUME~1\jurgunov.es\LOCALS~1\Temp\e33176c1.js','');

 DeleteFile('C:\DOCUME~1\jurgunov.es\LOCALS~1\Temp\e33176c1.js','32');

 DeleteFile('C:\DOCUME~1\jurgunov.es\LOCALS~1\Temp\VAULT.txt','32');

 RegKeyParamDel('HKEY_USERS','S-1-5-21-2506673397-2813142750-3965359231-1216\Software\Microsoft\Windows\CurrentVersion\Run','e1a04a3c');

 RegKeyParamDel('HKEY_USERS','S-1-5-21-2506673397-2813142750-3965359231-1216\Software\Microsoft\Windows\CurrentVersion\Run','58f139df');

 RegKeyParamDel('HKEY_USERS','S-1-5-21-2506673397-2813142750-3965359231-1216\Software\Microsoft\Windows\CurrentVersion\Run','ed3f074a');

 DeleteFile('C:\Documents and Settings\jurgunov.es\Desktop\vault.txt','32');

 RegKeyParamDel('HKEY_USERS','S-1-5-21-2506673397-2813142750-3965359231-1216\Software\Microsoft\Windows\CurrentVersion\Run','WinnerDM');



BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(false);

end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin

CreateQurantineArchive('c:\quarantine.zip');

end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

2 сентября, 2015

[KLAN-3101403286]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

e33176c1.js - Trojan-Ransom.JS.Agent.ah

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

e33176c1.js - Trojan-Ransom.JS.Agent.ah

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

--------------------------------------------------------------------------------
Sent: 9/2/2015 9:45:32 AM
To: newvirus@kaspersky.com
Subject: Virus

CollectionLog-2015.09.02-14.38.zip

2 сентября, 2015

Логи в порядке.

С расшифровкой не поможем

Вирус зашифровал doc и xls

Рекомендуемые сообщения

Dypuk

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Dypuk

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum