Перейти к содержанию

Ваши файлы были зашифрованы.Readme.txt

Екатерина Хрусталева

Автор Екатерина Хрусталева
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Екатерина Хрусталева Новичок

Екатерина Хрусталева

Опубликовано
Опубликовано

Здравствуйте!

Произошел сбой в электросети,после перезагрузки компьютера на рабочем столе появилась надпись на чёрном фоне красными буквами: Внимание !все важные файлы на всех дисках компьютера зашифрованы, Подробности вы можете прочитать в файлах readme.txt 

 

Ниже описаны то что было после открытия файла.

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
122225704403424C97BA|0
на электронный адрес files000001@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
122225704403424C97BA|0
to e-mail address files000001@gmail.com .
Then you will receive all necessary instructions.

 

All the attempts of decryption by yourself will result only in irrevocable loss of your data.
 
При открытии файла рисунка(*.jpg) открывается Word c не понятными буквами.Св-ва файла jpg показывает тип файла - Файл "BREAKING_BAD"
 
Прошу вашей помощи в решении моей проблемы

CollectionLog-2016.01.28-10.30.zip

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
 TerminateProcessByName('c:\documents and settings\Пользователь\local settings\application data\evftion\a1734c6e.exe');
 QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\Rar$EX00.313\GreenChristmasTree_01_0.exe','');
 QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\Adobe\Reader_sl.exe','');
 QuarantineFile('C:\Documents and Settings\Пользователь\Application Data\E8ED93FD9FF94D8\RtkAudioService.exe','');
 QuarantineFile('C:\Documents and Settings\Пользователь\Application Data\E8ED93FD9FF94D8\ALCMTR.EXE','');
 QuarantineFile('C:\Documents and Settings\Пользователь\Local Settings\Application Data\Evftion\xyzSE.dll','');
 QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe','');
 QuarantineFile('c:\documents and settings\Пользователь\local settings\application data\evftion\a1734c6e.exe','');
 DeleteFile('C:\Documents and Settings\Пользователь\Local Settings\Application Data\Evftion\xyzSE.dll','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');
 DeleteFile('C:\Documents and Settings\Пользователь\Application Data\E8ED93FD9FF94D8\ALCMTR.EXE','32');
 DeleteFile('C:\Documents and Settings\Пользователь\Application Data\E8ED93FD9FF94D8\RtkAudioService.exe','32');
 DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\Adobe\Reader_sl.exe','32');
 DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\Rar$EX00.313\GreenChristmasTree_01_0.exe','32');
 DeleteFile('C:\Documents and Settings\Пользователь\Local Settings\Application Data\Evftion\A1734C6E.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ALCMTR.EXE');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RtkAudioService.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Green Christmas Tree');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Evftion');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\Documents and Settings\Пользователь\Local Settings\Application Data\Evftion\xyzSE.dll');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.
Отправьте на проверку файл  Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R3 - Default URLSearchHook is missing
O4 - HKCU\..\Run: [ALCMTR.EXE] C:\Documents and Settings\Пользователь\Application Data\E8ED93FD9FF94D8\ALCMTR.EXE
O4 - HKCU\..\Run: [Adobe System Incorporated] C:\DOCUME~1\86C2~1\LOCALS~1\Temp\Adobe\Reader_sl.exe
O4 - HKCU\..\Run: [Evftion] C:\Documents and Settings\Пользователь\Local Settings\Application Data\Evftion\A1734C6E.exe
O4 - HKCU\..\Run: [Green Christmas Tree] C:\DOCUME~1\86C2~1\LOCALS~1\Temp\Rar$EX00.313\GreenChristmasTree_01_0.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
 
Сделайте новые логи по правилам.

+ приложите логи FRST
http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

Ссылка на комментарий
Поделиться на другие сайты
Екатерина Хрусталева Новичок

Екатерина Хрусталева

Опубликовано
  • Автор
Опубликовано

Здравствуйте!!!

что сделала в разделе

1) (AVZ, Меню "Файл - Выполнить скрипт"):

Компьютер перезагрузился

2)отправила файл  Quarantine.zip по форме

3)в HijackThis не нашла строки(Выделены курсивом с чертой внизу)

R3 - Default URLSearchHook is missing

O4 - HKCU\..\Run: [ALCMTR.EXE] C:\Documents and Settingsользователь\Application Data\E8ED93FD9FF94D8\ALCMTR.EXE
O4 - HKCU\..\Run: [Adobe System Incorporated] C:\DOCUME~1\86C2~1\LOCALS~1\Temp\Adobe\Reader_sl.exe
O4 - HKCU\..\Run: [Evftion] C:\Documents and Settingsользователь\Local Settings\Application Data\Evftion\A1734C6E.exe
O4 - HKCU\..\Run: [Green Christmas Tree] C:\DOCUME~1\86C2~1\LOCALS~1\Temp\Rar$EX00.313\GreenChristmasTree_01_0.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

 

4)Сделайте новые логи по правилам.(высылаю результат логи FRST)

Addition.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sanka
      Ваши документы, базы данных и другие файлы были зашифрованы.
      Автор sanka
      Добрый день!
       
      Просьба помочь с расшифровкой.
      Лог FRST, записка вымогателя и примеры зашифрованных файлов во вложении
      FRST.zip примеры и записка вымогателя.zip
    • Alexxxxx
      У меня РАТ файл
      Автор Alexxxxx
      Я установил РАТ файл случайно 
      По ту сторону вируса со мной связался человек он говорит что у меня установлен dropper и bootkit вместе с rat вирусом он пытался получить доступ к аккаунтам , у некоторых я поменял пароль и отключил интернет кабель, что мне делать
    • KL FC Bot
      Как отключить доступ Gemini к вашим данным на Android | Блог Касперского
      Автор KL FC Bot
      7 июля 2025 года Google выпустила обновление Gemini, которое дает AI-помощнику доступ к приложениям Phone, Messages, WhatsApp и Utilities на Android-устройствах. Компания анонсировала это событие e-mail-рассылкой пользователям своего чат-бота, которых просто поставили перед фактом: «Мы упростили взаимодействие Gemini с вашим устройством… Gemini скоро сможет помочь вам использовать «Телефон», «Сообщения», WhatsApp и «Утилиты» на вашем телефоне, независимо от того, включена ли ваша активность приложений Gemini или нет».
      С точки зрения Google, обновление улучшает приватность, поскольку теперь пользователям доступны функции Gemini без необходимости включать Gemini Apps Activity. Удобно, не правда ли?
       
      View the full article
    • Serhio0606
      Проверка файла
      Автор Serhio0606
      Здравствуйте, хотел скачать игру, но «Касперский» посчитал, что в файле-установщике есть вирус ( UDS:DangerousObject.Multi.Generic ). Я почитал про это в интернете и узнал, что он не всегда бывает вирусом, и чтобы проверить, можно отправить файл на форум, где специалисты вручную проверят его на наличие вирусов. Помогите, пожалуйста!
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
       
      Строгое предупреждение от модератора Mark D. Pearlstone На форуме запрещено размещать вредоносные и потенциально вредоносные файлы и ссылки на них.
       
    • Sgorick
      Переписанные файлы
      Автор Sgorick
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. wuauserv я с помощью роликов переделал. bits существует в двух экземплярах, один из которых был bkp, но потом стал обычным.
      FRST.txt Addition.txt CollectionLog-2025.06.07-20.41.zip
×
×
  • Создать...