Перейти к содержанию

Файлы зашифрованы email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id

Иван Теребов

От Иван Теребов
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Иван Теребов Новичок

Иван Теребов

Опубликовано
Опубликовано (изменено)

Добрый день!

При случайном открытии письма поймал вирус вот  что получилось

 email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id-XYZZAABCDDEFFFGHIIJJJKLLMNNOOOPQRRSS-20.10.2015 8@46@084640325.randomname-QRSSUUVVWWXXYZZZAABCCDEEEFFGHH.IIJ.cbf

Вот содержание письма с  buh@akvamarin.ru

Уважаемые коллеги!

Здравствуйте!
Обращаем Ваше внимание, что в нашей компании 07.09.2015
произошла смена Генерального директора, во вложении высылаем
Вам новый договор, который необходимо подписать в кротчайшие сроки
и прислать его к нам в офис с оригинальной подписью и печатью
Спасибо!
C Уважением
Главный Бухгалтер ООО Елампа
Ким Виктория
Файлы(2)
  1)       адрес ссылки     
  2)    адрес ссылки  

CollectionLog-2015.10.21-22.53.zip

Оригенал файла без шифра Res-mods.SU---mod-svetlyachokt.rar

email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id-XYZZAABCDDEFFFGHIIJJJKLLMNNOOOPQRRSS-20.10.2015 8@46@084640325.randomname-QRSSUUVVWWXXYZZZAABCCDEEEFFGHH.IIJ.rar

Изменено пользователем mike 1
Вирусная ссылка
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
FF Extension: Default SearchProtected  - C:\Users\Dasboot\AppData\Roaming\Mozilla\Firefox\Profiles\nfyk8bsy.default\Extensions\defsearchp@gmail.com [2015-09-07] [not signed]
FF Extension: deskCut - C:\Users\Dasboot\AppData\Roaming\Mozilla\Firefox\Profiles\nfyk8bsy.default\Extensions\deskCutv2@gmail.com [2015-09-07] [not signed]
FF Extension: Shop and Save Up - C:\Users\Dasboot\AppData\Roaming\Mozilla\Firefox\Profiles\nfyk8bsy.default\Extensions\ffddf830-f24b-489e-9e90-a42d11893b1c@gmail.com [2015-09-07] [not signed]
FF Extension: Универсальный перевод для FireFox - C:\Users\Dasboot\AppData\Roaming\Mozilla\Firefox\Profiles\nfyk8bsy.default\Extensions\translator@zoli.bod [2015-05-22] [not signed]
CHR HomePage: Default -> hxxp://www.search.ask.com/?gct=hp
CHR StartupUrls: Default -> "hxxp://www.delta-homes.com/?type=hp&ts=1432871570&z=fa2bd2e4794f26f1d53ff15gdz6c6o4b3mfgaw0c6m&from=wpm05293&uid=ST500DM005XHD502HJ_S20BJ90CC82184","hxxp://www.istartsurf.com/?type=hp&ts=1441613742&z=78b315cc6f2285a834cdc10g1z8zbg7qeg6cdwet6t&from=smt&uid=OCZ-VERTEX3_A20Y8011308003811","hxxp://mail.ru/cnt/10445?gp=newcustom3","hxxp://www.mystartsearch.com/?type=hp&ts=1443232236&z=c1272407a0ed404c777b6aag6z5z8cdo2cbobe3q2g&from=cmi&uid=OCZ-VERTEX3_A20Y8011308003811"
CHR Session Restore: Default -> is enabled.
CHR Extension: (Вход в Одноклассники.ru) - C:\Users\Dasboot\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhnmhpibgmlgfahagjeflhoaconcagp [2015-02-09]
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
OPR Extension: (Shop and Save Up) - C:\Users\Dasboot\AppData\Roaming\Opera Software\Opera Stable\Extensions\ablgnpngfaaficpckehadaljnjgjkhbi [2015-10-08]
OPR Extension: (Универсальный перевод для Chrome) - C:\Users\Dasboot\AppData\Roaming\Opera Software\Opera Stable\Extensions\fjnbnpbmkenffdnngjfgmeleoegfcffe [2015-05-22]
2015-09-26 12:11 - 2015-09-26 18:14 - 00000000 ____D C:\Users\Все пользователи\WWdsManProW
2015-09-26 12:11 - 2015-09-26 18:14 - 00000000 ____D C:\ProgramData\WWdsManProW
2015-09-26 11:51 - 2015-10-20 12:29 - 00000000 ____D C:\Users\Все пользователи\Browsers
2015-09-26 11:51 - 2015-10-20 12:29 - 00000000 ____D C:\Users\Dasboot\AppData\Local\Browsers
2015-09-26 11:51 - 2015-10-20 12:29 - 00000000 ____D C:\ProgramData\Browsers
2015-09-26 11:51 - 2015-09-26 18:14 - 00000000 ____D C:\Users\Все пользователи\9WdsManPro9
2015-09-26 11:51 - 2015-09-26 18:14 - 00000000 ____D C:\Users\Dasboot\AppData\Local\gmsd_ru_005010096
2015-09-26 11:51 - 2015-09-26 18:14 - 00000000 ____D C:\ProgramData\9WdsManPro9
2015-09-26 11:50 - 2015-09-26 18:11 - 00000000 ____D C:\Users\Dasboot\AppData\LocalLow\SmartWeb
2015-09-26 11:39 - 2015-10-21 22:11 - 00000000 ____D C:\Users\Dasboot\AppData\Local\03DE0294-1443267599-056A-3406-990700080009
2015-09-26 11:39 - 2015-09-26 11:39 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2015-09-26 11:39 - 2015-09-26 11:39 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2015-09-26 11:38 - 2015-09-26 18:14 - 00000000 ____D C:\Users\Dasboot\AppData\Local\gmsd_ru_025010096
2015-09-26 11:38 - 2015-09-26 18:14 - 00000000 ____D C:\Users\Dasboot\AppData\Local\cobunce
2015-09-26 11:38 - 2015-09-26 11:51 - 00000000 ____D C:\Users\Dasboot\AppData\Roaming\MailProducts
2015-09-26 11:37 - 2015-10-21 21:29 - 00000000 ____D C:\Program Files\UBar
2015-09-26 11:37 - 2015-09-26 11:37 - 00000000 ____D C:\Users\Все пользователи\UBar
2015-09-26 11:37 - 2015-09-26 11:37 - 00000000 ____D C:\ProgramData\UBar
2015-09-07 18:17 - 2015-09-07 18:21 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YouTube Accelerator
2015-09-07 18:17 - 2015-09-07 18:17 - 00000000 __SHD C:\Users\Dasboot\AppData\Roaming\AnyProtectEx
2015-09-07 18:17 - 2015-09-07 18:17 - 00000000 ____D C:\Users\Dasboot\AppData\Roaming\Genieo
2015-09-07 18:17 - 2015-09-07 18:17 - 00000000 ____D C:\Users\Dasboot\AppData\LocalLow\Goobzo
2015-09-07 18:15 - 2015-09-26 12:11 - 00000102 _____ C:\Users\Все пользователи\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-09-07 18:15 - 2015-09-26 12:11 - 00000102 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-09-07 18:15 - 2015-09-07 18:21 - 00000000 ____D C:\Users\Все пользователи\SWdsManProS
2015-09-07 18:15 - 2015-09-07 18:21 - 00000000 ____D C:\ProgramData\SWdsManProS
2015-09-07 18:14 - 2015-09-07 18:21 - 00000000 ____D C:\Users\Dasboot\AppData\Roaming\cpuminer
2015-09-07 18:14 - 2015-09-07 18:21 - 00000000 ____D C:\Users\Dasboot\AppData\Local\gmsd_ru_005010082
2015-09-07 18:14 - 2015-09-07 18:14 - 00000008 _____ C:\END
2015-09-07 18:13 - 2015-09-07 18:13 - 00000000 ____D C:\Users\Dasboot\AppData\Local\Crossbrowse
2015-09-07 16:47 - 2015-09-26 11:40 - 00000000 ____D C:\Users\Dasboot\AppData\Local\Kometa
2015-09-07 16:46 - 2015-10-21 22:11 - 00000000 ____D C:\Users\Dasboot\AppData\Local\03DE0294-1441644373-056A-3406-990700080009
2015-09-07 16:43 - 2015-09-07 18:24 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Torrentex
2015-09-07 16:43 - 2015-09-07 18:23 - 00000000 ____D C:\Users\Dasboot\AppData\Roaming\Torrentex
2015-09-05 23:36 - 2015-09-05 23:36 - 01406272 _____ C:\Windows\system32\cpm.exe
2015-09-05 23:30 - 2015-09-05 23:30 - 00000226 _____ C:\Windows\system32\cpuminer-conf.json
2015-10-20 08:46 - 2015-10-20 12:33 - 0000080 _____ () C:\Program Files (x86)\SWTLDUSFOL.QIC
FirewallRules: [TCP Query User{C2CF2475-FB2B-46EB-9887-07DD0964A82B}C:\users\dasboot\downloads\50miner\50miner\miners\cgminer\cgminer.exe] => (Allow) C:\users\dasboot\downloads\50miner\50miner\miners\cgminer\cgminer.exe
FirewallRules: [UDP Query User{DF80007E-E19D-4A53-9C43-77761305464A}C:\users\dasboot\downloads\50miner\50miner\miners\cgminer\cgminer.exe] => (Allow) C:\users\dasboot\downloads\50miner\50miner\miners\cgminer\cgminer.exe
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Максим Ivanov
      Файлы были зашифрованы .want_to_cry
      От Максим Ivanov
      Файлы с расширением .want_to_cry. Kaspersky Small Office Security вируса не обнаружил, при этом не все файлы на диске были зашифрованы, только одна папка. Во вложении все необходимое.
      Addition.txt FRST.txt Файлы.rar
    • Azward
      Зашифровались файлы hop_dec
      От Azward
      Добрый день! 
      Зашифровались все файлы на рабочей машине. В том числе 1с базы.
      [MJ-CR7920861453](decodehop@gmail.com )   Все файлы с таким расширением.
      Отправил во вложении Архив с файлом, и логи FRST
      Надеемся на вашу помощь. Стоял касперский Small office security. Не помог. Сейчас вовсе исчез.
      virus.rar Addition.txt FRST.txt
    • Andrei Butyrchyk
      Зашифрованы файлы с расширением .mammn
      От Andrei Butyrchyk
      Здравствуйте!
      Отработал на машине шифровальщик. До конца отработать, по всей видимости, не успел так как нет записки и не все файлы были зашифрованы.
      Есть папки с RSADecryptKey и предположительно сам файл шифровальщик.
      FRST.zip EncryptedFiles.zip
    • Jutr
      Зашифрованы файлы [king_ransom1@mailfence.com].king
      От Jutr
      FRST.txtAddition.txt#Read-for-recovery.txtDes.zip
      Добрый день! Словили шифровальщика все файлы с расширением [king_ransom1@mailfence.com].king, подскажите пожалуйста, как-то можно расшифровать?
    • Лариса B
      King зашифровал файлы организации
      От Лариса B
      Добрый день!
      В локальную сеть попал шифровальщик.  Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      К сожалению пока не удалось понять, как он попал и где нахоится источник(. 
      Но сегодня  ночью, по времени - все файлы  оказались зашифрованы. 

      Прикладывают  файлы, согласно правилам зашифрованные файлы + требования.rar

      Подскажите пож-та 
      1. Как найти источник   заражения, сам шифровальщик, какие есть методы 
      2. Как можно дешифровать  данные файлы 
       
      Спасибо большое!
×
×
  • Создать...