Перейти к содержанию

Вирус шифровальщик BREAKING_BAD


Дмитрий Машинков

Рекомендуемые сообщения

 На электронную почту пришло письмо от Ростелекома со счетом, скачали счет, и все рабочие файлы за 7 лет (word, exel. фото, видео) зашифровались и стали иметь вид: I0yJc97W15eFj1JI1fzyETvupXhjflRANaQ-jDVS6aPmDAfFnPjS67aboW7XRLoG-wKySPPp7pf4kj4-jFgcRA==.F8739579568E1FA9A569.breaking_bad пришлите пожалуйста расшифровщик , текстового файла с просьбой о перечислении денег не пришло. С уважением Дмитрий

KL_syscure.zip

Изменено пользователем Дмитрий Машинков
Ссылка на комментарий
Поделиться на другие сайты

все сделал согласно порядка оформления запроса, прикрепил нужный файл


По правилам этого форума нужен другой файл: Порядок оформления запроса о по

все сделал как просили

CollectionLog-2015.12.18-09.36.zip

Ссылка на комментарий
Поделиться на другие сайты

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
 
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\programdata\tmp0x0x\protectwindowsmanager.exe');
 TerminateProcessByName('c:\program files\sfk\ssfk.exe');
 StopService('SSFK');
 StopService('WindowsMangerProtect');
 QuarantineFileF('c:\programdata\tmp0x0x', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0);
 QuarantineFileF('c:\program files\sfk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0);
 QuarantineFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe', '');
 QuarantineFile('c:\program files\sfk\ssfk.exe', '');
 DeleteFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe', '32');
 DeleteFile('c:\program files\sfk\ssfk.exe', '32');
 DeleteFileMask('c:\programdata\tmp0x0x', '*', true);
 DeleteFileMask('c:\program files\sfk', '*', true);
 DeleteDirectory('c:\programdata\tmp0x0x');
 DeleteDirectory('c:\program files\sfk');
 DeleteService('SSFK');
 DeleteService('WindowsMangerProtect');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
 

 
Компьютер перезагрузится
 
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com
 
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\programdata\tmp0x0x\protectwindowsmanager.exe');
 TerminateProcessByName('c:\program files\sfk\ssfk.exe');
 StopService('SSFK');
 StopService('WindowsMangerProtect');
 QuarantineFileF('c:\programdata\tmp0x0x', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0);
 QuarantineFileF('c:\program files\sfk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0);
 QuarantineFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe', '');
 QuarantineFile('c:\program files\sfk\ssfk.exe', '');
 DeleteFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe', '32');
 DeleteFile('c:\program files\sfk\ssfk.exe', '32');
 DeleteFileMask('c:\programdata\tmp0x0x', '*', true);
 DeleteFileMask('c:\program files\sfk', '*', true);
 DeleteDirectory('c:\programdata\tmp0x0x');
 DeleteDirectory('c:\program files\sfk');
 DeleteService('SSFK');
 DeleteService('WindowsMangerProtect');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
 

 

Компьютер перезагрузится

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Все сделал, Файл quarantine.zip из папки с распакованной утилитой AVZ отправил отправьте по адресу newvirus@kaspersky.com

письмо не отправляется....пишет следующее:  

A message that you sent was rejected by the local scanning code that

checks incoming messages on this system. The following error was given:
 
  virus message discarded
Ссылка на комментарий
Поделиться на другие сайты

как и какие сделать новые логи? письма не отправляются....


Все отправил, на письмо с утилитой AVZ пришел ответ: KLAN-3498094537 Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

AdwCleaner[s1].txt

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского


На письмо с Adw cleaner пришел ответ KLAN-3498095335  Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

ProtectWindowsManager.exe,
SSFK.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского


Что делать сейчас?

Изменено пользователем Дмитрий Машинков
Ссылка на комментарий
Поделиться на другие сайты

1.

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Настройки отметьте дополнительно:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
 
Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите.
Подробнее читайте в этом руководстве.
 
 
2. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
 
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:



start
CreateRestorePoint:
2015-12-15 15:22 - 2015-12-16 14:37 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-12-15 15:22 - 2015-12-16 14:37 - 00000000 __SHD C:\ProgramData\Windows
2015-12-11 10:51 - 2015-12-16 14:15 - 00000000 ____D C:\Users\Дима\AppData\LocalLow\Unity
2015-12-11 10:51 - 2015-12-16 13:53 - 00000000 ____D C:\Users\Дима\AppData\Local\Unity
2015-12-11 10:50 - 2015-12-11 10:50 - 00000000 ____D C:\Users\Дима\AppData\Roaming\MailProducts
2015-12-11 08:20 - 2015-12-11 08:20 - 00000000 ____D C:\Users\Дима\AppData\Local\WindowsUpdate
2015-12-10 10:01 - 2015-12-10 10:01 - 00000000 ____H C:\Windows\system32\Drivers\Msft_User_WpdFs_01_09_00.Wdf
C:\Users\Дима\AppData\Local\Temp\siinst.exe
Reboot:
end


и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • backpacker
      От backpacker
      Доброго времени суток, как можно было понять, организация поймала шифровальщик через почту, путем запуска исполняемого файла, файлы с расширением .doc , .pdf и т.д перезаписаны с расширением .breaking_bad.
      Долгое время система стояла без попыток что-либо предпринять (WinXP). Хотелось бы узнать, есть ли какая-либо вероятность успеха.
      CollectionLog-2016.06.08-08.41.zip
      FRST_logs.zip
    • Konstantin Leybovskiy
      От Konstantin Leybovskiy
      Добрый день господа.
       
      Зашифрованы файлы.
      Расширение breaking_bad
      В приложение
      1. Заявление на регистрацию - оригинальный файл и зашированный
      2. Зашифрованные файлы - архив с несколькими зашифрованными файлами.
      3.CollectionLog - архив с файлами логами.
      02_Заявление на регистрацию (YLE).zip
      Зашифрованные файлы.zip
      CollectionLog-2016.05.18-20.44.zip
    • ravi321
      От ravi321
      Здравствуйте Уважаемый Касперский. Расскажу одну историю кратко.
      Где то 2,5 года назад пришло письмо на почту. В письме про бухгалтерские отчетности. Все файлы всегда проверяю вашим антивирусом т.к на моей машине стоит сервер на нем много сайтов и поэтому я шизофреник. Хорошо что есть backup, но не на все файлы. Шифровальщик BREAKING_BAD + HEISENBERG зашифровал мои файлы более 100тыс.
       
      Написал вам, так как антивирус стоял ваш. Попросили зарег-ся и я зарегистрировался у вас в ЛК скинул вам файлы как просили.
      После долгого ответа мне ответили: положите файлы до лучших времен т.к расшифровать их не удалось, попробуйте через год.
       
      Прошел год и я написал вам снова. Тут мне попросили купить лицензию без нее сказали что даже отвечать не станем. Как в прочем если походить по форуму вы всегда скидываете вот это: http://forum.kaspersky.com/index.php?showtopic=337288 . Я купил лицензию (хоть и уже не пользовался вашим анивирусом). Ответ мне последовал аналогичный, что и в том году.
       
      Пишу вам на форум в 2016. Отвечать буду только на форуме и не каких Личных Кабинетов. Пусть люди видят: помогаете ли вы нам или просто существуете. Скажите что расшифруем файлы куплю вашу лицензию. Если нет сделаю вывод и больше к вам не когда не обращусь.
      На данный момент имеем:
      1. Антивирус мне не помог.
      2. Расшифровка вашей тех поддержки не помогла.
       
      Вы со мною согласны, что можно и всю жизнь вам платить за расшифровку ?
      Или ответьте на сколько лет мне заархивировать файлы?
      И в каком году мне можно к вам обратиться за расшифровкой?
      Desktop.rar
    • Рустем Мухамедвалиев
      От Рустем Мухамедвалиев
      Вчера ожидая счет пришло письмо с текстом "Не Оплачен счет за декабрь-КП271430" с вложенным архивным файлом 3927akt.gz при разархивации обнаружился файл с расширением .scr. Запустив файл понял что сделал что то не то, и тут же запустил антивирус дабы удалить возможный вирус. оставил систему на полную проверку до утра. а утром выяснил что все файлы формата doc, avi, jpg переименованы в файлы с расширением .breaking_bad.
       
      на рабочем столе появился файл readme c текстом
      "Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: 731DBBCB75AC623B89DA|0 на электронный адрес files000001@gmail.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 731DBBCB75AC623B89DA|0 to e-mail address files000001@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data."   Отписавшись на данный ящик - получил ответ с требованием 10000 рублей     CollectionLog-2016.01.20-10.50.zip
    • mak_sym
      От mak_sym
      Зашифрованы все документы и фото. Формат файлов *.breaking_bad. Картинка рабочего стола не меняется. Текстовые документы Readme1/10 во всех папках c описанием:
       
      "Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      379937E7484813A0DF54|0
      на электронный адрес files000001@gmail.com .
      Далее вы получите все необходимые инструкции.
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      379937E7484813A0DF54|0
      to e-mail address files000001@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data."
      CollectionLog-2015.12.26-09.14.zip
×
×
  • Создать...