Перейти к содержанию

Вирус шифровальщик breaking_bad


Рекомендуемые сообщения

Здравствуйте! поймали вирус шифровальщик.

Все файлы зашифрованы с расширением breaking_bad.

работник открыл письмо с вирусом. 

 

появились файлы readme.txt с содержанием

 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
2FE4235A481EA709E59D|0
на электронный адрес files1147@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Лицензия есть.(была куплена)

Очень нужна ваша помощь. так как на компьютере были БД 1с, и куча документов.

Спасибо.

CollectionLog-2015.11.30-11.07.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке
move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 QuarantineFile('C:\Users\1\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 QuarantineFile('C:\Users\1\AppData\Roaming\Browsers\exe.emorhc.bat','');
 DeleteFile('C:\Users\1\AppData\Roaming\Browsers\exe.emorhc.bat','32');
 DeleteFile('C:\Users\1\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.
 
Сделайте новые логи по правилам (только пункт 2).

+
логи FRST
 
 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

Ссылка на комментарий
Поделиться на другие сайты

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке

move.gif

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 QuarantineFile('C:\Users\1\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 QuarantineFile('C:\Users\1\AppData\Roaming\Browsers\exe.emorhc.bat','');
 DeleteFile('C:\Users\1\AppData\Roaming\Browsers\exe.emorhc.bat','32');
 DeleteFile('C:\Users\1\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.

"Порядок действий на портале Kaspersky Virus Desk:":

 

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.

 

 

Полученный через электронную почту ответ сообщите в этой теме.

 

Сделайте новые логи по правилам (только пункт 2).

 

+

логи FRST

 

 

 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

 

 

Файлы логов и ответов.

ClearLNK-30.11.2015_12-13.zip

ответ_от_kaspersky_virus_desk.txt

CollectionLog-2015.11.30-13.12.zip

frst.zip

Спасибо.

Изменено пользователем Sandor
Убрал карантин
Ссылка на комментарий
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR Extension: (Quick Searcher) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\mlomiejdfkolichcflejclcbmpeaniij [2015-07-23]
2015-11-26 15:00 - 2015-11-27 02:45 - 00000000 ____D C:\Users\1\AppData\Local\Orlics
2015-11-26 15:00 - 2015-11-26 15:00 - 04320054 _____ C:\Users\1\AppData\Roaming\AD5BA5C1AD5BA5C1.bmp
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README9.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README8.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README7.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README6.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README5.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README4.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README3.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README2.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README10.txt
AlternateDataStreams: C:\Users\1\Downloads\FRST64.exe:BDU
AlternateDataStreams: C:\Users\1\Downloads\KVRT.exe:BDU
AlternateDataStreams: C:\Users\1\Downloads\rectordecryptor.exe:BDU
AlternateDataStreams: C:\Users\1\Downloads\setuponenotefreeretail.x86.ru-ru_.exe:BDU
AlternateDataStreams: C:\Users\1\Downloads\TeamViewerQJ (1).exe:BDU
AlternateDataStreams: C:\Users\1\Downloads\TeamViewer_Setup_ru.exe:BDU
AlternateDataStreams: C:\Users\1\Downloads\xoristdecryptor.exe:BDU
Reboot:

2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR Extension: (Quick Searcher) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\mlomiejdfkolichcflejclcbmpeaniij [2015-07-23]
2015-11-26 15:00 - 2015-11-27 02:45 - 00000000 ____D C:\Users\1\AppData\Local\Orlics
2015-11-26 15:00 - 2015-11-26 15:00 - 04320054 _____ C:\Users\1\AppData\Roaming\AD5BA5C1AD5BA5C1.bmp
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README9.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README8.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README7.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README6.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README5.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README4.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README3.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README2.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README10.txt
AlternateDataStreams: C:\Users\1\Downloads\FRST64.exe:BDU
AlternateDataStreams: C:\Users\1\Downloads\KVRT.exe:BDU
AlternateDataStreams: C:\Users\1\Downloads\rectordecryptor.exe:BDU
AlternateDataStreams: C:\Users\1\Downloads\setuponenotefreeretail.x86.ru-ru_.exe:BDU
AlternateDataStreams: C:\Users\1\Downloads\TeamViewerQJ (1).exe:BDU
AlternateDataStreams: C:\Users\1\Downloads\TeamViewer_Setup_ru.exe:BDU
AlternateDataStreams: C:\Users\1\Downloads\xoristdecryptor.exe:BDU
Reboot:

2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

 

  • Обратите внимание, что компьютер будет перезагружен.

     

     

 

 

 

Файл результата

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Лаборатория Касперского пытается помочь с этим шифровальщиком только обладателям действующей лицензии на своим продукты

Ссылка на комментарий
Поделиться на другие сайты

Лаборатория Касперского пытается помочь с этим шифровальщиком только обладателям действующей лицензии на своим продукты

я же написал ещё в первом сообщении, что приобрели лицензию на Internet Security! установить не успели. лицензия есть. в логах её естественно нет. устанавливать не стал, так как вдруг хуже будет.

скажите что сделать.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • scopsa
      От scopsa
      Здравствуйте у меня тоже самое, можно что то с  этим сделать
      Сообщение от модератора kmscom Сообщение перенесено из темы Вирус-шифровальщик "datastore@cyberfear"  
    • Gikboer
      От Gikboer
      Здравствуйте, подскажите пожалуйста. На компьютер попал вирус-шифровальщик и теперь все файлы стали называться с расширением "datastore@cyberfear". Вирус скорее-всего называется - Phobos.
    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • Forrestem
      От Forrestem
      В МО одна особа скачала письмо из папки спам, в следствии чего поймала вирус шифровальщик, вопрос, есть ли возможность как то восстановить данные?
      Addition.txt FRST.txt
    • Radik_Gilmanov
      От Radik_Gilmanov
      все файлы зашифрованы с расширением wbmVRwkmD, нужна помощь в расшифровке 
      А.Даутов.rar FRST_17-10-2024 23.55.28.txt
       
×
×
  • Создать...