Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Объявился шифровальщик

Admin_FO
 Поделиться

Рекомендуемые сообщения

Admin_FO

Admin_FO

Опубликовано
Опубликовано (изменено)

Доброго времени суток!

На компьютере объявился шифровальщик: вместо изображения рабочего стола красные буквы на чёрном фоне " Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы!..." и ниже то же самое на английском.

Зашифрованные файлы имеют расширение breaking_bad.

На диске C:\ и D:\ появилось несколько Readme с таким сообщением:
 

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:
C8A8F04364DB63198C2B|0
на электронный адрес files1147@gmail.com.
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
Помогите пожалуйста с расшифровкой. Логи и скриншот в приложении.

CollectionLog-2015.12.08-16.52.zip

post-36588-0-20891600-1449583609_thumb.png

Изменено пользователем Admin_FO
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\User\AppData\Local\Ehtion\BiomCtrlFace.dll','');
 TerminateProcessByName('c:\users\user\appdata\local\temp\2d002a64.exe');
 QuarantineFile('c:\users\user\appdata\local\temp\2d002a64.exe','');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 DeleteFile('c:\users\user\appdata\local\temp\2d002a64.exe','32');
 DeleteFile('C:\Users\User\AppData\Local\Ehtion\BiomCtrlFace.dll','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ehtion');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Amwworks');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Admin_RPN

Admin_RPN

Опубликовано
Опубликовано

Поймал тоже такой же шифровальщик но не могу отпрвить запрос в лабораторию с акаунта организации

Admin_FO

Admin_FO

Опубликовано
  • Автор
Опубликовано

@thyrex,

Начальство приняло решение о переустановке ОС.  :eyes:

Прощу прощения за беспокойство.  :idontno:

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vkams
      Шифровальщик .no_more_ransom [Shade Ransomware]
      Автор vkams
      Пользовательница открыла .zip-файл якобы из налоговой. По её словам, антивирус nod32 предупредил и, вроде, не дал выполнить. Через 30 мин, заметив проблемы с базой The bat! (часть писем не показывалась), обратилась ко мне. Я обнаружил признаки шифрования, по одной из тем в этом разделе убил 'C:\ProgramData\Windows\csrss.exe' с помощью AVZ, но огромное количество файлов и папок уже зашифрованы. Последующая проверка с помощью Kaspresky Security Scan, DrWeb CureIt!, Malwarebytes показали, что других заражений нет. Отчёты FRST прилагаю. 
       
      Есть ли расшифровщик?

      Папка quarantine была пустой, так что, может, ничего при запуске AVZ и не убилось, разве что перезагрузка прервала работу шифровальщика. Действовал в цейтноте, не слишком разумно... .
      Addition.zip
      FRST.zip
    • Доброслав
      Не запускается установка Касперского.
      Автор Доброслав
      При запуске установки Касперского процесс прекращается через несколько секунд. Никаких ошибок не выдаёт.
      CollectionLog-2026.04.21-10.29.zip
    • ArtMaster7
      Шифровщик email-moshiax@aol.com
      Автор ArtMaster7
      Доброго времени суток.
      Помогите....
      Получил 02.12.2015 письмо из налоговой, открыл и появились проблемы....
       
      CollectionLog-2016.01.17-01.05.zip
    • dezent17
      [РАСШИФРОВАНО] Шифровальщик honestandhope@qq.com
      Автор dezent17
      Добрый день!
      Поймал шифровальщик 3 года назад, оставил в надежде на появление решений по его расшифровке. Прочитал, что есть случаи разблокировки с данным email
      Система была переустановлена и остались лишь зашифрованные файлы с how_to_decrypt.hta
      Прошу помочь расшифровать
      Прикрепляю файлы для проверки, пароль 1111
       
      Спасибо!
      files.zip
    • cenpro
      Decoder_master@aol.com
      Автор cenpro
      Здравствуйте!
       
      Столкнулся с проблемой шифрования компьютера.
      Сделал сканирование. Прикрепляю файл 
      CollectionLog-2017.09.20-10.23.zip 
      И еще, появился файл 
      bootsqm.rar 
      Тоже прикрепил.
       
      Прошу помощи в дешифрации данных, пусть даже будет на платной основе.
       
      Спасибо за ранее! 
                                
      CollectionLog-2017.09.20-10.23.zip
      bootsqm.rar
×
×
  • Создать...