Расшифровка зашифрованных файлов

[AltayResort]

Добрый День!

 

Получили по электроной почте файл с вирусом (прекреплен в скрепке) после открытия файла зашифровались файлы с расширением doc, xls

Пример заражонного файла в скрепке, так же прекладываем логи собранные программной autologger.

 Учитывая финансовый характер заражонных файлов просьба помочь в расшифровке файлов как можно скорее

Мы являемся владельцами корпоративной линцензии kaspersky endpoint security.

С Уважением.

ООО Алтай Резорт

 

Изменено 7 ноября, 2015 пользователем mike 1
Карантин в теме.

[thyrex]

Выполните скрипт в AVZ

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

then

  begin

   SearchRootkit(true, true);

   SetAVZGuardStatus(True);

  end;

QuarantineFile('C:\client.exe','');

QuarantineFile('C:\Users\Бодрова\AppData\Local\Host installer\2933571908_installcube.exe','');

QuarantineFile('C:\Users\Бодрова\AppData\Roaming\Browsers\exe.erolpxei.bat','');

QuarantineFile('C:\Users\Бодрова\AppData\Roaming\Browsers\exe.emorhc.bat','');

QuarantineFile('C:\Users\Бодрова\AppData\Roaming\Microsoft Update\UnLoad.exe','');

QuarantineFile('C:\Users\Бодрова\AppData\Roaming\GemWare\node-webkit.exe','');

QuarantineFile('C:\Windows\SysWOW64\csrss.exe','');

QuarantineFile('C:\Windows\system32\csrss.exe','');

DeleteFile('C:\Users\99A1~1\AppData\Local\Temp\VAULT.txt','32');

RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1ae63f88','command');

DeleteFile('C:\Windows\system32\csrss.exe','32');

RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Process','command');

DeleteFile('C:\Users\Бодрова\Desktop\vault.txt','32');

RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\e080586c','command');

DeleteFile('C:\Windows\SysWOW64\csrss.exe','32');

RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Host-process Windows (Rundll32.exe)','command');

DeleteFile('C:\Users\Бодрова\AppData\Roaming\GemWare\node-webkit.exe','32');

RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\node-webkit','command');

DeleteFile('C:\Users\Бодрова\AppData\Roaming\Microsoft Update\UnLoad.exe','32');

RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UnLoad_TorProject','command');

DeleteFile('C:\Users\Бодрова\AppData\Roaming\Browsers\exe.emorhc.bat','32');

DeleteFile('C:\Users\Бодрова\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\desktop (1).ini','32');

DeleteFile('C:\Users\Бодрова\AppData\Roaming\Browsers\exe.erolpxei.bat','32');

DeleteFile('C:\Users\Бодрова\AppData\Local\Host installer\2933571908_installcube.exe','32');

DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(false);

end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin

CreateQurantineArchive('c:\quarantine.zip');

end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи