Перейти к содержанию

Расшифровка зашифрованных файлов


Рекомендуемые сообщения

Добрый День!

 

Получили по электроной почте файл с вирусом (прекреплен в скрепке) после открытия файла зашифровались файлы с расширением doc, xls

Пример заражонного файла в скрепке, так же прекладываем логи собранные программной autologger.

 Учитывая финансовый характер заражонных файлов просьба помочь в расшифровке файлов как можно скорее

Мы являемся владельцами корпоративной линцензии kaspersky endpoint security.

С Уважением.

ООО Алтай Резорт

 

Изменено пользователем mike 1
Карантин в теме.
Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\client.exe','');
QuarantineFile('C:\Users\Бодрова\AppData\Local\Host installer\2933571908_installcube.exe','');
QuarantineFile('C:\Users\Бодрова\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Users\Бодрова\AppData\Roaming\Browsers\exe.emorhc.bat','');
QuarantineFile('C:\Users\Бодрова\AppData\Roaming\Microsoft Update\UnLoad.exe','');
QuarantineFile('C:\Users\Бодрова\AppData\Roaming\GemWare\node-webkit.exe','');
QuarantineFile('C:\Windows\SysWOW64\csrss.exe','');
QuarantineFile('C:\Windows\system32\csrss.exe','');
DeleteFile('C:\Users\99A1~1\AppData\Local\Temp\VAULT.txt','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1ae63f88','command');
DeleteFile('C:\Windows\system32\csrss.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Process','command');
DeleteFile('C:\Users\Бодрова\Desktop\vault.txt','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\e080586c','command');
DeleteFile('C:\Windows\SysWOW64\csrss.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Host-process Windows (Rundll32.exe)','command');
DeleteFile('C:\Users\Бодрова\AppData\Roaming\GemWare\node-webkit.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\node-webkit','command');
DeleteFile('C:\Users\Бодрова\AppData\Roaming\Microsoft Update\UnLoad.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UnLoad_TorProject','command');
DeleteFile('C:\Users\Бодрова\AppData\Roaming\Browsers\exe.emorhc.bat','32');
DeleteFile('C:\Users\Бодрова\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\desktop (1).ini','32');
DeleteFile('C:\Users\Бодрова\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Users\Бодрова\AppData\Local\Host installer\2933571908_installcube.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Profssn
      От Profssn
      Нужна помощь расшифровать. Поймали на другом ПК с другой windows. Windows удален. Файлы переименованы на расшерение decrypting@cock.li
      Новая сжатая ZIP-папка.zip Addition.txt FRST.txt
×
×
  • Создать...