Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

День добрый.

Вирус зашифровал файлы. Пришло письмо на почту со ссылкой, при открыти файлы зашифровались.

Согласно инструкции http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]прилагаю файлы с логами.

CollectionLog-2015.12.27-16.45.zip

Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\ITsoft\BiomCtrlFace.dll','');
 QuarantineFile('C:\Documents and Settings\User\Мои документы\Downloads\schet.nomer.10400514-10-12 (1).scr','');
 QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\YmrPack\BiomCtrlFace.dll','');
 DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\YmrPack\BiomCtrlFace.dll','32');
 DeleteFile('C:\Documents and Settings\User\Мои документы\Downloads\schet.nomer.10400514-10-12 (1).scr','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Evdtion');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YmrPack');
 DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\ITsoft\BiomCtrlFace.dll','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Опубликовано

[KLAN-3517259309]

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

BiomCtrlFace.dll - Trojan.Win32.Yakes.ntau
BiomCtrlFace_0.dll - Trojan.Win32.Agentb.bqrv

Детектирование файлов будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

 

Я так понимаю что надо еще раз скачать файл для создания логов и запустить его?

Опубликовано

Правильно. Только заново качать не обязательно, достаточно еще раз запустить Autologger.

Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\...\Run: [] => [X]
FF Extension: No Name - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 15.0.0\FFExt\content_blocker@kaspersky.com [not found]
2015-12-10 13:58 - 2015-12-10 13:58 - 00000013 _____ C:\Documents and Settings\User\Application Data\Ky7d757rdtfygug41.ini
2015-12-10 13:58 - 2015-12-10 13:58 - 00000000 ____D C:\Documents and Settings\User\Application Data\fitesimg1
2015-12-10 13:58 - 2015-12-10 13:58 - 00000000 ____D C:\Documents and Settings\User\Application Data\filesbo1
2015-12-10 13:58 - 2015-12-10 13:58 - 00000000 ____D C:\Documents and Settings\User\Application Data\fesbo
2015-12-10 13:53 - 2015-12-27 17:12 - 00000000 ____D C:\Documents and Settings\User\Local Settings\Application Data\ITsoft
2015-12-10 13:52 - 2015-12-10 13:52 - 03932214 _____ C:\Documents and Settings\User\Application Data\71C87E8F71C87E8F.bmp
2015-12-10 13:31 - 2015-12-10 13:32 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
Опубликовано

Спасибо за помощь. Я понял, еще вопрос, эти файлы уже никогда нельзя будет расшифровать?

Опубликовано

Кто знает, что может произойти спустя какое-то время. Может злодеев поймают, и они все отдадут, например

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • mak_sym
      Автор mak_sym
      Зашифрованы все документы и фото. Формат файлов *.breaking_bad. Картинка рабочего стола не меняется. Текстовые документы Readme1/10 во всех папках c описанием:
       
      "Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      379937E7484813A0DF54|0
      на электронный адрес files000001@gmail.com .
      Далее вы получите все необходимые инструкции.
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      379937E7484813A0DF54|0
      to e-mail address files000001@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data."
      CollectionLog-2015.12.26-09.14.zip
    • НатальяМ
      Автор НатальяМ
      1
    • Дмитрий Машинков
      Автор Дмитрий Машинков
      На электронную почту пришло письмо от Ростелекома со счетом, скачали счет, и все рабочие файлы за 7 лет (word, exel. фото, видео) зашифровались и стали иметь вид: I0yJc97W15eFj1JI1fzyETvupXhjflRANaQ-jDVS6aPmDAfFnPjS67aboW7XRLoG-wKySPPp7pf4kj4-jFgcRA==.F8739579568E1FA9A569.breaking_bad пришлите пожалуйста расшифровщик , текстового файла с просьбой о перечислении денег не пришло. С уважением Дмитрий
      KL_syscure.zip
    • slavec
      Автор slavec
      Поймал вирус по рассылке, проверил все корпоративные почты фирм, у всех есть такое письмо.
       
      Текст примерно такой 
        Добрый день!
      Высылаю Вам исправленный счет за услуги связи. Новый счет во вложении или тут: удалено
      С уважением
       компания  Ростелеком
      Именно вирус был пойман от сюда
      удалено
      Собственно нужен дешифратор
    • ven23
      Автор ven23
      Сотрудник получил письмо от ростелекома, после открытия файла все файлы стали вида:
      RXQr28mEmyfCahDbUlP6xULH2nzPp6mbN745BFWJmBYGJrKh8P4oh+W14fKxfW--.5B22D1B78457D1F2808E.breaking_bad
      В корне дисков появились текстовые документы со следующим содержимым:
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      5B22D1B78457D1F2808E|0
      на электронный адрес files0000002@gmail.com .
      Далее вы получите все необходимые инструкции.
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      5B22D1B78457D1F2808E|0
      to e-mail address files0000002@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
       
      Во вложении файл протоколов
      CollectionLog-2015.12.22-15.40.zip
×
×
  • Создать...