Перейти к содержанию

Зашифрованы файлы


Рекомендуемые сообщения

Зашифрованы все графические и офисные файлы. На рабочем столе текст с содержанием:

 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
8674BD05DC2556C280A8|0
на электронный адрес files000001@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
8674BD05DC2556C280A8|0
to e-mail address files000001@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
 
Перед созданием логов переименовал папку C:\Users\Пользователь\AppData\Local\Adjworks в C:\Users\Пользователь\AppData\Local\Adjworks.BAN.
 
Помогите расшифровать.
 
Видел похожую проблему на форуме. Прикреплю еще логи Farbar

CollectionLog-2016.01.23-19.03.zip

Addition.txt

FRST.txt

Изменено пользователем qwuantum
Ссылка на комментарий
Поделиться на другие сайты

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке
move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\ProgramData\AvPgcd\YWwcrwUYR2.bat','');
 QuarantineFile('C:\ProgramData\AwOQmvRdaqnHpc\XLktuYVAelXO5.bat','');
 QuarantineFile('C:\ProgramData\OLC\AHJcAXLwz0.bat','');
 QuarantineFile('C:\Users\Пользователь\AppData\Local\Adjworks\lxhnuwrs.dll','');
 QuarantineFile('C:\Users\Пользователь\AppData\Local\Adjworks\71F8C9CC.exe','');
 QuarantineFile('C:\Users\Пользователь\AppData\Local\Ivfssoft\ssnwevvp.dll','');
 DeleteFile('C:\Users\Пользователь\AppData\Local\Ivfssoft\ssnwevvp.dll','32');
 DeleteFile('C:\Users\Пользователь\AppData\Local\Adjworks\71F8C9CC.exe','32');
 DeleteFile('C:\Users\Пользователь\AppData\Local\Adjworks\lxhnuwrs.dll','32');
 DeleteFile('C:\ProgramData\OLC\AHJcAXLwz0.bat','32');
 DeleteFile('C:\ProgramData\AwOQmvRdaqnHpc\XLktuYVAelXO5.bat','32');
 DeleteFile('C:\ProgramData\AvPgcd\YWwcrwUYR2.bat','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ivfssoft');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adjworks');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YblkPack');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - HKCU\..\Run: [Adjworks] C:\Users\Пользователь\AppData\Local\Adjworks\71F8C9CC.exe
O4 - HKCU\..\Run: [Ivfssoft] regsvr32.exe C:\Users\Пользователь\AppData\Local\Ivfssoft\ssnwevvp.dll
O4 - HKCU\..\Run: [YblkPack] C:\Windows\System32\regsvr32.exe C:\Users\Пользователь\AppData\Local\Adjworks\lxhnuwrs.dll

 
Сделайте новые логи по правилам (только пункт 2).

+
2 лога FRST 
http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696
 

Ссылка на комментарий
Поделиться на другие сайты

Отчет о работе ClearLNK-<Дата>.log


Re: [VirLabSRF][VD][undetected malware sample][M:1][LN:ru][L:0] [KLAN-3648965947]
newvirus@kaspersky.com
Кому: vav_ua@mail.ru
 
сегодня, 20:29
 
 
 
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

AHJcAXLwz0.bat,
ssnwevvp.dll

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. 

AHJcAXLwz0.bat,
ssnwevvp.dll

A set of unknown files has been received. They will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"


--------------------------------------------------------------------------------
Sent: 1/23/2016 6:27:03 PM
To: newvirus@kaspersky.com
Subject: [VirLabSRF][VD][undetected malware sample][M:1][LN:ru][L:0]

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii"><p>LANG: ru</p><p>email: vav_ua@mail.ru</p><p>uploaded files: Quarantine.zip</p>
 
Сообщение от модератора Mark D. Pearlstone
Адрес почты пользователя удалён.

ClearLNK-23.01.2016_19-58.log

Ссылка на комментарий
Поделиться на другие сайты

Новые логи по правилам + дополнительно запрошенные логи где?

Нетбук медленный. Делаю логи...

Вот логи:

CollectionLog-2016.01.23-20.49.zip

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-4285474391-3461903543-2734246760-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-4285474391-3461903543-2734246760-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
2016-01-23 19:27 - 2016-01-18 14:48 - 00048128 _____ C:\Users\Пользователь\AppData\Local\71F8C9CC.exe
2016-01-18 14:49 - 2016-01-23 20:07 - 00000000 ____D C:\Users\Пользователь\AppData\Local\Ivfssoft
2016-01-18 14:48 - 2016-01-18 14:49 - 00000000 ____D C:\Users\Пользователь\AppData\Local\Adjworks.BAN
2016-01-18 14:47 - 2016-01-18 14:47 - 03148854 _____ C:\Users\Пользователь\AppData\Roaming\E63005D0E63005D0.bmp
2016-01-18 14:46 - 2016-01-18 14:46 - 00000843 _____ C:\Users\Пользователь\Desktop\README9.txt
2016-01-18 14:46 - 2016-01-18 14:46 - 00000843 _____ C:\Users\Пользователь\Desktop\README8.txt
2016-01-18 14:46 - 2016-01-18 14:46 - 00000843 _____ C:\Users\Пользователь\Desktop\README7.txt
2016-01-18 14:46 - 2016-01-18 14:46 - 00000843 _____ C:\Users\Пользователь\Desktop\README6.txt
2016-01-18 14:46 - 2016-01-18 14:46 - 00000843 _____ C:\Users\Пользователь\Desktop\README5.txt
2016-01-18 14:46 - 2016-01-18 14:46 - 00000843 _____ C:\Users\Пользователь\Desktop\README4.txt
2016-01-18 14:46 - 2016-01-18 14:46 - 00000843 _____ C:\Users\Пользователь\Desktop\README3.txt
2016-01-18 14:46 - 2016-01-18 14:46 - 00000843 _____ C:\Users\Пользователь\Desktop\README2.txt
2016-01-18 14:46 - 2016-01-18 14:46 - 00000843 _____ C:\Users\Пользователь\Desktop\README10.txt
2015-10-25 15:35 - 2016-01-18 14:42 - 00000000 ____D C:\Users\Все пользователи\ContentDefender
2015-10-25 15:35 - 2016-01-18 14:42 - 00000000 ____D C:\ProgramData\ContentDefender
2015-10-25 15:35 - 2015-12-03 23:17 - 00000000 ____D C:\Program Files\Zaxar
2015-10-25 15:35 - 2015-10-25 15:35 - 00000000 ____D C:\Users\Пользователь\AppData\Local\fOyvUMQzyKh
C:\Users\Пользователь\AppData\Local\Temp\71F8C9CC.exe
C:\Users\Пользователь\AppData\Local\Temp\obnovisetup.exe
Task: {07103EB6-2ED6-4B1A-9A0B-43271F04D502} - \{4E51FDCD-9A46-46DE-9863-B7B79383A857} -> No File <==== ATTENTION
Task: {3E26A35D-D9F6-4691-A5B2-11FCA6F9DF22} - \{07D14B1B-0089-4BE2-857F-5A078BA41A2B} -> No File <==== ATTENTION
Task: {8E0F23D9-3E3F-4FA7-9AC0-ABFB79DE7DB0} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
Task: {8F943092-8413-4456-80F2-429DAAB98DA6} - \Обновление Браузера Яндекс  -> No File <==== ATTENTION
Task: {B82781B9-ACC6-41DA-AC55-10F857B1AE73} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...