Перейти к содержанию

Объявился шифровальщик

Admin_FO
 Поделиться

Рекомендуемые сообщения

Admin_FO

Admin_FO

Опубликовано
Опубликовано (изменено)

Доброго времени суток!

На компьютере объявился шифровальщик: вместо изображения рабочего стола красные буквы на чёрном фоне " Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы!..." и ниже то же самое на английском.

Зашифрованные файлы имеют расширение breaking_bad.

На диске C:\ и D:\ появилось несколько Readme с таким сообщением:
 

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:
C8A8F04364DB63198C2B|0
на электронный адрес files1147@gmail.com.
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
Помогите пожалуйста с расшифровкой. Логи и скриншот в приложении.

CollectionLog-2015.12.08-16.52.zip

post-36588-0-20891600-1449583609_thumb.png

Изменено пользователем Admin_FO
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\User\AppData\Local\Ehtion\BiomCtrlFace.dll','');
 TerminateProcessByName('c:\users\user\appdata\local\temp\2d002a64.exe');
 QuarantineFile('c:\users\user\appdata\local\temp\2d002a64.exe','');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 DeleteFile('c:\users\user\appdata\local\temp\2d002a64.exe','32');
 DeleteFile('C:\Users\User\AppData\Local\Ehtion\BiomCtrlFace.dll','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ehtion');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Amwworks');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Admin_RPN

Admin_RPN

Опубликовано
Опубликовано

Поймал тоже такой же шифровальщик но не могу отпрвить запрос в лабораторию с акаунта организации

Admin_FO

Admin_FO

Опубликовано
  • Автор
Опубликовано

@thyrex,

Начальство приняло решение о переустановке ОС.  :eyes:

Прощу прощения за беспокойство.  :idontno:

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • nsemak
      Необходима помощь в расшифровке файлов
      Автор nsemak
      Добрый день. Прошу помощи в расшифровке данных. Все по классике. Бухгалтер работала в терминальном сервере с правами админа, открыла почту и приехали. В архиве логи с программы "Farbar Recovery Scan Tool", зашифрованые файлы и файл о выкупе. 
       
      Файлы для анализа.zip
    • Elly
      Путешествие по музеям и выставкам с Евгением Касперским (Часть 1). Правила
      Автор Elly
      Друзья! 
       
      Эта викторина - ваш билет в путешествие по самым ярким, интересным, вдохновляющим и, возможно, неожиданным экспозициям мира. Вместе с Евгением Касперским мы пересекаем границы музеев и выставок, где наука и искусство становятся частью культурного кода.
      Это не просто викторина - это продолжение наших киберпутешествий. Мы побываем в местах, где оживают идеи, а экспонаты уводят за рамки привычного. Где технологии становятся искусством, а искусство - приключением. Погружайтесь в атмосферу самых удивительных музеев и выставок вместе с Евгением Касперским!
       
      Готовы? В путь! 
       
      НАГРАЖДЕНИЕ
       
      Без ошибок — 1000 баллов Одна ошибка — 600 баллов Две ошибки — 300 баллов  
      Баллами можно оплатить лицензии и сувениры в магазине Клуба. 
       
      ПРАВИЛА ПРОВЕДЕНИЯ

      Викторина проводится до 20:00 16 ноября 2025 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователям @zell и @alexandra (пользователя @Elly включать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений.

      Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.

      Вопросы по начислению баллов, принимаются в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите  ЗДЕСЬ.

       
    • mr_ujin
      шифровальщик
      Автор mr_ujin
      ..здравствуйте..помещены в архив с паролем файлы архивов..и файлы с рабочего стола...просят написать на почты для получения  пароля от архива..Addition.txtFRST.txt
      ...архивные файлы слишком большие от 10ГБ..
      ..в архиве только файл с требованиями..pass winrar — копия.rar
      Addition.txt FRST.txt
    • Lord2454
      Шифровальщик enkacrypt
      Автор Lord2454
      Добрый день.
      Прошу помочь.
       
      Файлы FRST:
      Addition.txtFRST.txt  
       
      Архив с зашифрованными файлами (пароль virus). Сообщение от вымогателей там же.
      Decrypt_enkacrypt.rar
    • Elly
      Викторина по Flickr Евгения Касперского. Правила
      Автор Elly
      Друзья! 
       
      На этот раз нас ждёт не просто виртуальное путешествие, а экспедиция в один из самых ярких фотоархивов интернета!
      Flickr Евгения Касперского - это цифровой дневник открытий, маршрутов и неожиданных находок, который хочется не просто листать, а разглядывать, ловить атмосферу каждой фотографии и мысленно добавлять новые точки на карту будущих путешествий.
      Готовы проверить свою внимательность?
      Запускаем викторину по Flickr Евгения Касперского!
      Здесь важны не столько знания, сколько ваше любопытство и наблюдательность.
      Настраиваем внимание на максимум и отправляемся в фотоэкспедицию!
      Пусть киберудача будет с вами!
       
      НАГРАЖДЕНИЕ
       
      Без ошибок — 1000 баллов Одна ошибка — 700 баллов Две ошибки — 400 баллов  
      Баллами можно оплатить лицензии и сувениры в магазине Клуба. 
       
      ПРАВИЛА ПРОВЕДЕНИЯ

      Викторина проводится до 20:00 21 сентября 2025 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователям @zell и @alexandra (пользователя @Elly включать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений.

      Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.

      Вопросы по начислению баллов, принимаются в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите  ЗДЕСЬ.
×
×
  • Создать...