Перейти к содержанию

Все файлы на компьютере зашифрованы Seven_Legion2@aol.com.ver-CL 1.0.0.0.id


Рекомендуемые сообщения

Александр Гранов
Опубликовано

Добрый день!

Открыли почту от судебных приставов и все файлы (офисные, pdf) переименовались в:    

email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id-LZHWGLZEJNIDLFQBZUFQOJUPNHSDCWHSQBMH-11.09.2015 11@06@114879741.randomname-RQSJJEITOZKVKUWHSTUVGHIKVWXYJK.DXS.cbf

1. Компьютер проверили с помощью KVRT.

2. Логи собрали с помощью AutoLogger

3. Результат во вложение, и зашифрованный файл.

Сохранить сам шифратор не получилось, хозяин компьютера пытался сразу все удалить думая что это исправит ситуацию.

CollectionLog-2015.09.11-16.45.zip

file_cbf.zip

Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\Любовь Семеновна\Application Data\Khiuie.exe','');
DeleteFile('C:\Documents and Settings\Любовь Семеновна\Application Data\Khiuie.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Khiuie');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
    move.gif
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Александр Гранов
Опубликовано

Добрый день!

 

KLAN-3130699663

 

LOG  во вложение.

 

И на всякий случай quarantine во вложение.

 

Сообщение от модератора Mark D. Pearlstone
quarantine.zip прикреплять не нужно. Файл удалён.

ClearLNK-12.09.2015_12-43.log

CollectionLog-2015.09.12-13.34.zip

Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
HKLM\...\Run: [] => [X]
HKU\S-1-5-21-2041464811-3204619288-2303085401-1005\...\Winlogon: [Shell] C:\WINDOWS\explorer.exe [1034240 2008-06-09] (Корпорация Майкрософт) <==== ATTENTION
SearchScopes: HKU\S-1-5-21-2041464811-3204619288-2303085401-1005 -> {89C4A819-BC8D-4909-AB06-1413F0A191FB} URL = hxxp://iskalko.ru/browser.php?t=2&m=firms_1&s={searchTerms}
Toolbar: HKU\S-1-5-21-2041464811-3204619288-2303085401-1005 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
2015-09-11 11:06 - 2015-09-11 12:30 - 00000081 _____ C:\Program Files\FWOCPGCDKI.MTT
2015-09-11 11:05 - 2015-09-11 11:05 - 00519168 _____ C:\Program Files\Договор для подписания и печатей для бухгалтерии.docx.exe
2011-12-08 05:16 - 2011-12-08 05:16 - 0002592 _____ () C:\Documents and Settings\Любовь Семеновна\Application Data\310.exe
2011-12-08 05:16 - 2011-12-08 05:16 - 0002592 _____ () C:\Documents and Settings\Любовь Семеновна\Application Data\315.exe
2011-12-08 06:03 - 2011-12-08 06:03 - 0002592 _____ () C:\Documents and Settings\Любовь Семеновна\Application Data\31F.exe
2011-12-08 06:03 - 2011-12-08 06:03 - 0002592 _____ () C:\Documents and Settings\Любовь Семеновна\Application Data\324.exe
Reboot:

2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.

Александр Гранов
Опубликовано

С расшифровкой не поможем

 

Причину можете сказать?

 

И есть ли организацию которые смогут расшифровать? Которые вы знаете.  

Опубликовано

Невозможность подбора ключей RSA за приемлемое время

 

 

 


И есть ли организацию которые смогут расшифровать? Которые вы знаете
увы, помогут только злодеи
Александр Гранов
Опубликовано

 

Невозможность подбора ключей RSA за приемлемое время

 

 

 

И есть ли организацию которые смогут расшифровать? Которые вы знаете

увы, помогут только злодеи

 

 

А приемлемое время это сколько? 

 

И есть ли возможность организовать подбор ключей больше чем приемлемое время?

 

Опубликовано

Приемлемое время - это сотни лет при современной скорости перебора

Александр Гранов
Опубликовано

Понятно.

 

Подскажите после вируса шифровщика надо ОС переустанавливать? Или он больше не активен.

Опубликовано

Активного вируса уже нет.

 

В переустановке никакого смысла нет.

Опубликовано
Проверьте эти файлы на virustotal


C:\FRST\Quarantine\C:\Program Files\Договор для подписания и печатей для бухгалтерии.docx.exe

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
  • Нет слов 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • baddiw
      Автор baddiw
      файлы переименованы в email-seven_legion@india.com .ver-CL 1.0.0.0.id-MNOQQSTUVWXYZABCDDEFGIIJKLMMNOPRRSTU-16.09.2015 18@06@287370553.randomname-FIJLMNPQQRTUVVWYZZABDEEFGIIJKL.MNO 
      можно ли их расшифровать? лог прилагаю
      CollectionLog-2015.09.17-16.58.zip
    • gaponvit
      Автор gaponvit
      Получили почтой договор заархивированный, после разархивации все файлы с текстовой информацией и не только  стали называться "email seven Legion2@...и соответственно невозможно открыть.
      Помогите!
      CollectionLog-2015.09.15-15.13.zip
    • Andy58
      Автор Andy58
      теперь все нужные файлы имеют название "email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id-RVZDGJNQUXAEHKORVYBFILOSVYCGILOQTWZD-10.09.2015 4@02@334670505.randomname-AEHKOSVYBFILOSVYBFILPSVYCFILPS.WYC" или подобное.
      CollectionLog-2015.09.14-11.53.zip
    • S-e-r-s-h
      Автор S-e-r-s-h
      Добрый день. Хватанули троян, который зашифровал все документы таким образом: email-load180@aol.com.ver-CL 1.0.0.0.id-SBJKZCVMEGNQHJLOSVXZEGIMPSVXCEGJNQTU-02.09.2015 8@18@454361717.randomname-CNOCKUQNTOEVIVKQBSIWJZUKAQVPET.MGZ.cbf
      После заражения воспользовались восстановлением системы на предыдущий дату и проверили Kaspersky Virus Removal Tool 2015, а после, продленным Small Office Security. Вроде ничего не нашел.  Очень нужна ваша помощь. Как убедиться, что источника заразы больше нет и как расшифровать документы? CollectionLog-2015.09.07-11.35.zip
    • sidor
      Автор sidor
      Здравствуйте!
      Все как обычно, пришло письмо, якобы от налоговой, дальше открытие архива, без сохранения и проверки антивирусом.
      Результат-все файлы  MSO зашифрованы - названия начинаются с seven_legion@aol.com
      Что сделал:
      1. Прошелся по диску kav_rescue_10.
       по классификации каспера выявлено Win32.VBKryjetor.wes  в program files и в корневике системы.
      2. Удалил из автозагрузки окошко с предупреждением.
      3. Собрал логи.

         CollectionLog-2015.09.04-14.27
      Посмотрите, пожалуйста, может где еще дыры или зверье сидит?
       
      По поводу расшифровки: пробовал rectordecryptor и xoristdecryptor, не помогло.
      Может у кого есть дешифратор для моего случая? Плзз. А то девчонкам этим несчастным неделю на складе ревизию проводить....
       
      CollectionLog-2015.09.04-14.27.zip
×
×
  • Создать...