Перейти к содержанию

Все файлы на компьютере зашифрованы Seven_Legion2@aol.com.ver-CL 1.0.0.0.id


Александр Гранов

Рекомендуемые сообщения

Добрый день!

Открыли почту от судебных приставов и все файлы (офисные, pdf) переименовались в:    

email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id-LZHWGLZEJNIDLFQBZUFQOJUPNHSDCWHSQBMH-11.09.2015 11@06@114879741.randomname-RQSJJEITOZKVKUWHSTUVGHIKVWXYJK.DXS.cbf

1. Компьютер проверили с помощью KVRT.

2. Логи собрали с помощью AutoLogger

3. Результат во вложение, и зашифрованный файл.

Сохранить сам шифратор не получилось, хозяин компьютера пытался сразу все удалить думая что это исправит ситуацию.

CollectionLog-2015.09.11-16.45.zip

file_cbf.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\Любовь Семеновна\Application Data\Khiuie.exe','');
DeleteFile('C:\Documents and Settings\Любовь Семеновна\Application Data\Khiuie.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Khiuie');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
    move.gif
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

Добрый день!

 

KLAN-3130699663

 

LOG  во вложение.

 

И на всякий случай quarantine во вложение.

 

Сообщение от модератора Mark D. Pearlstone
quarantine.zip прикреплять не нужно. Файл удалён.

ClearLNK-12.09.2015_12-43.log

CollectionLog-2015.09.12-13.34.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
HKLM\...\Run: [] => [X]
HKU\S-1-5-21-2041464811-3204619288-2303085401-1005\...\Winlogon: [Shell] C:\WINDOWS\explorer.exe [1034240 2008-06-09] (Корпорация Майкрософт) <==== ATTENTION
SearchScopes: HKU\S-1-5-21-2041464811-3204619288-2303085401-1005 -> {89C4A819-BC8D-4909-AB06-1413F0A191FB} URL = hxxp://iskalko.ru/browser.php?t=2&m=firms_1&s={searchTerms}
Toolbar: HKU\S-1-5-21-2041464811-3204619288-2303085401-1005 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
2015-09-11 11:06 - 2015-09-11 12:30 - 00000081 _____ C:\Program Files\FWOCPGCDKI.MTT
2015-09-11 11:05 - 2015-09-11 11:05 - 00519168 _____ C:\Program Files\Договор для подписания и печатей для бухгалтерии.docx.exe
2011-12-08 05:16 - 2011-12-08 05:16 - 0002592 _____ () C:\Documents and Settings\Любовь Семеновна\Application Data\310.exe
2011-12-08 05:16 - 2011-12-08 05:16 - 0002592 _____ () C:\Documents and Settings\Любовь Семеновна\Application Data\315.exe
2011-12-08 06:03 - 2011-12-08 06:03 - 0002592 _____ () C:\Documents and Settings\Любовь Семеновна\Application Data\31F.exe
2011-12-08 06:03 - 2011-12-08 06:03 - 0002592 _____ () C:\Documents and Settings\Любовь Семеновна\Application Data\324.exe
Reboot:

2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

С расшифровкой не поможем

 

Причину можете сказать?

 

И есть ли организацию которые смогут расшифровать? Которые вы знаете.  

Ссылка на комментарий
Поделиться на другие сайты

Невозможность подбора ключей RSA за приемлемое время

 

 

 


И есть ли организацию которые смогут расшифровать? Которые вы знаете
увы, помогут только злодеи
Ссылка на комментарий
Поделиться на другие сайты

 

Невозможность подбора ключей RSA за приемлемое время

 

 

 

И есть ли организацию которые смогут расшифровать? Которые вы знаете

увы, помогут только злодеи

 

 

А приемлемое время это сколько? 

 

И есть ли возможность организовать подбор ключей больше чем приемлемое время?

 

Ссылка на комментарий
Поделиться на другие сайты

Проверьте эти файлы на virustotal


C:\FRST\Quarantine\C:\Program Files\Договор для подписания и печатей для бухгалтерии.docx.exe

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
  • Нет слов 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Alexey.N
      От Alexey.N
      Добрый день!
      Утром 04.10.2024 обнаружили, что на компьютере пропали ярлыки и не открываются файлы.
      На всех папках стоит дата 03.10.24 вечером в 23:10 вирус проник и зашифровал.
      Записка злоумышленников есть, также все файлы имеют расширение почты и код блокировки. 
      Пример: Mail-[mammoncomltd@gmail.com]ID-[КОД БЛОКИРОВКИ].mammn
      Во вложении зашифрованные файлы в архиве и также в другом архиве логи.
       
      Зашифрованные файлы.rar FRST и Addition.rar
    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
×
×
  • Создать...