Перейти к содержанию

Зашифровались файлы email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id


Рекомендуемые сообщения

Добрый день, секретарь открыла вордовский файл от "налоговиков"

и понеслось.

email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id-GHIJJKLMNOPQQRRSTUUVVWXYYZAABCCDEEFF-02.11.2015 12@00@208103872.randomname-OQRTUVWXYYZABCCDEFGGHHIJKLLMNO.PQR

 

Прогнал 

Farbar Recovery Scan Tool

Прикрепил результаты. Так же могу прикрепить исходный файл "вордовский" и и логи почтовика.

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Добавил логи AVZ  и hijackthi. Лечить не стал. Т.к. не рекомендуют лечить в данном случае.

 

Сообщение от модератора Mark D. Pearlstone
Файл Quarantine.rar удалён.

LOG.rar

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\secretar\AppData\Local\PriceMeter\pricemeterw.exe','');
QuarantineFile('C:\Users\secretar\AppData\Local\PriceMeter\TEMP\pricemeter.exe','');
QuarantineFile('C:\Program Files\1ClickMovie-Download V9.0\e12881b1-6a05-4848-98c6-9701aa538810-5.exe','');
QuarantineFile('C:\Program Files\1ClickMovie-Download V9.0\e12881b1-6a05-4848-98c6-9701aa538810-4.exe','');
QuarantineFile('C:\Program Files\1ClickMovie-Download V9.0\e12881b1-6a05-4848-98c6-9701aa538810-2.exe','');
QuarantineFile('C:\Program Files\1ClickMovie-Download V9.0\e12881b1-6a05-4848-98c6-9701aa538810-11.exe','');
QuarantineFile('C:\Program Files\1ClickMovie-Download V9.0\1ClickMovie-Download V9.0-codedownloader.exe','');
QuarantineFile('c:\progra~1\searchprotect\searchprotect\bin\spvc32loader.dll','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
DeleteFile('c:\progra~1\searchprotect\searchprotect\bin\spvc32loader.dll','32');
DeleteFile('C:\Program Files\1ClickMovie-Download V9.0\1ClickMovie-Download V9.0-codedownloader.exe','32');
DeleteFile('C:\Windows\Tasks\e12881b1-6a05-4848-98c6-9701aa538810-1.job','32');
DeleteFile('C:\Program Files\1ClickMovie-Download V9.0\e12881b1-6a05-4848-98c6-9701aa538810-11.exe','32');
DeleteFile('C:\Windows\Tasks\e12881b1-6a05-4848-98c6-9701aa538810-11.job','32');
DeleteFile('C:\Program Files\1ClickMovie-Download V9.0\e12881b1-6a05-4848-98c6-9701aa538810-2.exe','32');
DeleteFile('C:\Windows\Tasks\e12881b1-6a05-4848-98c6-9701aa538810-2.job','32');
DeleteFile('C:\Program Files\1ClickMovie-Download V9.0\e12881b1-6a05-4848-98c6-9701aa538810-4.exe','32');
DeleteFile('C:\Program Files\1ClickMovie-Download V9.0\e12881b1-6a05-4848-98c6-9701aa538810-5.exe','32');
DeleteFile('C:\Windows\Tasks\e12881b1-6a05-4848-98c6-9701aa538810-5.job','32');
DeleteFile('C:\Windows\Tasks\e12881b1-6a05-4848-98c6-9701aa538810-4.job','32');
DeleteFile('C:\Windows\Tasks\ViewPassword Update.job','32');
DeleteFile('C:\Windows\system32\Tasks\DNSMOHAWK','32');
DeleteFile('C:\Users\secretar\AppData\Local\PriceMeter\TEMP\pricemeter.exe','32');
DeleteFile('C:\Users\secretar\AppData\Local\PriceMeter\pricemeterw.exe','32');
DeleteFile('C:\Windows\system32\Tasks\pricemeterwatcher','32');
DeleteFile('C:\Windows\system32\Tasks\pricemetertask','32');
DeleteFile('C:\Windows\system32\Tasks\{F46493DD-266E-41D6-AAD1-351BD41CA48F}','32');
DeleteFile('C:\Users\secretar\AppData\Roaming\istartsurf\UninstallManager.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

Re: email-Seven_Legion2@aol.com [KLAN-3311117511]
newvirus@kaspersky.com
Кому: maksyrin@mail.ru
 
сегодня, 19:10
 
 
 
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

pricemeterd.exe

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

pricemeter.exe - not-a-virus:AdWare.Win32.DealPly.ah

Это файл от рекламной системы. Детектирование файла будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdates
 
 
 
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи - не понял, какое мне правило выполнить?
Изменено пользователем GansZ
Ссылка на комментарий
Поделиться на другие сайты

Новые логи при помощи Autologger соберите

 

+ Сделайте лог полного сканирования МВАМ

 

А заодно примеры зашифрованных файлов пришлите в мою коллекцию

Ссылка на комментарий
Поделиться на другие сайты

Удалите в МВАМ все, кроме

RiskWare.MPR, C:\Program Files\Multi Password Recovery\block_reader.sys, , [0ce14fe3ec9f55e17ff1d67ff80dae52], 
Spyware.Password.HL, C:\Program Files\Multi Password Recovery\HookLib.dll, , [03eaea482d5e45f1a244f174966cc739], 
RiskWare.MPR, C:\Program Files\Multi Password Recovery\UpdateChecker.exe, , [01ecee440982f442d6eaedbe8b766b95], 

Мне кажется или это я сам с собой разговариваю?

 


А заодно примеры зашифрованных файлов пришлите в мою коллекцию
Ссылка на комментарий
Поделиться на другие сайты

Все будет... не успеваю все делать.. у меня кроме секретарского еще и общая папка частично накрылась.... Бухи, секритутки, шеф, юрики... все в паники)))) 

Ссылка на комментарий
Поделиться на другие сайты

у меня кроме секретарского еще и общая папка частично накрылась.... Бухи, секритутки, шеф, юрики... все в паники

а кто из них так поумничал, запустив шифрование?  А, вижу... Пора секретаря наказывать... при невозможности расшифровки - рублем. Ну а заодно того, кто ее не проинструктировал на предмет соблюдения элементарных правил безопасности

Ссылка на комментарий
Поделиться на другие сайты

Я сохранил оригинал файла и лог, с outlook с которого все началось, могу его передать, только как это все безопасно сделать? 

 

Ушло на почтуnewvirus@kaspersky.com

 

 

email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id-GHIJJKLMNOPQQRRSTUUVVWXYYZAABCCDEEFF-02.11.2015 12@00@208103872.randomname-OQRTUVWXYYZABCCDEFGGHHIJKLLMNO.PQR.cbf

Вы не можете загружать файлы подобного типа

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...