Перейти к содержанию

Ваши файлы были зашифрованы.Readme.txt

Екатерина Хрусталева

От Екатерина Хрусталева
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Екатерина Хрусталева Новичок

Екатерина Хрусталева

Опубликовано
Опубликовано

Здравствуйте!

Произошел сбой в электросети,после перезагрузки компьютера на рабочем столе появилась надпись на чёрном фоне красными буквами: Внимание !все важные файлы на всех дисках компьютера зашифрованы, Подробности вы можете прочитать в файлах readme.txt 

 

Ниже описаны то что было после открытия файла.

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
122225704403424C97BA|0
на электронный адрес files000001@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
122225704403424C97BA|0
to e-mail address files000001@gmail.com .
Then you will receive all necessary instructions.

 

All the attempts of decryption by yourself will result only in irrevocable loss of your data.
 
При открытии файла рисунка(*.jpg) открывается Word c не понятными буквами.Св-ва файла jpg показывает тип файла - Файл "BREAKING_BAD"
 
Прошу вашей помощи в решении моей проблемы

CollectionLog-2016.01.28-10.30.zip

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
 TerminateProcessByName('c:\documents and settings\Пользователь\local settings\application data\evftion\a1734c6e.exe');
 QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\Rar$EX00.313\GreenChristmasTree_01_0.exe','');
 QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\Adobe\Reader_sl.exe','');
 QuarantineFile('C:\Documents and Settings\Пользователь\Application Data\E8ED93FD9FF94D8\RtkAudioService.exe','');
 QuarantineFile('C:\Documents and Settings\Пользователь\Application Data\E8ED93FD9FF94D8\ALCMTR.EXE','');
 QuarantineFile('C:\Documents and Settings\Пользователь\Local Settings\Application Data\Evftion\xyzSE.dll','');
 QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe','');
 QuarantineFile('c:\documents and settings\Пользователь\local settings\application data\evftion\a1734c6e.exe','');
 DeleteFile('C:\Documents and Settings\Пользователь\Local Settings\Application Data\Evftion\xyzSE.dll','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');
 DeleteFile('C:\Documents and Settings\Пользователь\Application Data\E8ED93FD9FF94D8\ALCMTR.EXE','32');
 DeleteFile('C:\Documents and Settings\Пользователь\Application Data\E8ED93FD9FF94D8\RtkAudioService.exe','32');
 DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\Adobe\Reader_sl.exe','32');
 DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\Rar$EX00.313\GreenChristmasTree_01_0.exe','32');
 DeleteFile('C:\Documents and Settings\Пользователь\Local Settings\Application Data\Evftion\A1734C6E.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ALCMTR.EXE');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RtkAudioService.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Green Christmas Tree');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Evftion');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\Documents and Settings\Пользователь\Local Settings\Application Data\Evftion\xyzSE.dll');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.
Отправьте на проверку файл  Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R3 - Default URLSearchHook is missing
O4 - HKCU\..\Run: [ALCMTR.EXE] C:\Documents and Settings\Пользователь\Application Data\E8ED93FD9FF94D8\ALCMTR.EXE
O4 - HKCU\..\Run: [Adobe System Incorporated] C:\DOCUME~1\86C2~1\LOCALS~1\Temp\Adobe\Reader_sl.exe
O4 - HKCU\..\Run: [Evftion] C:\Documents and Settings\Пользователь\Local Settings\Application Data\Evftion\A1734C6E.exe
O4 - HKCU\..\Run: [Green Christmas Tree] C:\DOCUME~1\86C2~1\LOCALS~1\Temp\Rar$EX00.313\GreenChristmasTree_01_0.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
 
Сделайте новые логи по правилам.

+ приложите логи FRST
http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

Ссылка на комментарий
Поделиться на другие сайты
Екатерина Хрусталева Новичок

Екатерина Хрусталева

Опубликовано
  • Автор
Опубликовано

Здравствуйте!!!

что сделала в разделе

1) (AVZ, Меню "Файл - Выполнить скрипт"):

Компьютер перезагрузился

2)отправила файл  Quarantine.zip по форме

3)в HijackThis не нашла строки(Выделены курсивом с чертой внизу)

R3 - Default URLSearchHook is missing

O4 - HKCU\..\Run: [ALCMTR.EXE] C:\Documents and Settingsользователь\Application Data\E8ED93FD9FF94D8\ALCMTR.EXE
O4 - HKCU\..\Run: [Adobe System Incorporated] C:\DOCUME~1\86C2~1\LOCALS~1\Temp\Adobe\Reader_sl.exe
O4 - HKCU\..\Run: [Evftion] C:\Documents and Settingsользователь\Local Settings\Application Data\Evftion\A1734C6E.exe
O4 - HKCU\..\Run: [Green Christmas Tree] C:\DOCUME~1\86C2~1\LOCALS~1\Temp\Rar$EX00.313\GreenChristmasTree_01_0.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

 

4)Сделайте новые логи по правилам.(высылаю результат логи FRST)

Addition.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • vishnevskiyy
      Некоторыми параметрами управляет ваша организация
      От vishnevskiyy
      Не могу избавиться от этой надписи: Некоторыми параметрами управляет ваша организация.
      Все решения подобной проблемы заблокированы в самих параметрах Windows.

    • Yappiny
      С недавних пор появилось "Вашим браузером управляет организация"
      От Yappiny
      С недавних пор появилась надпись "Вашим браузером управляет организация". Перепробовал кучу вариантов решения проблемы и удалял политику через реестр и сканировал разными антивирусами, к слову антивирусы не определяют эту политику как вирус. Даже переустановил Windows, но это не помогло. После перезагрузки компьютера политика снова появляется в реестре, даже если Гугл Хром не установлен, не запускается она только в диагностическом режиме. Пока что проблем от этого не обнаружил, но это очень напрягает
      CollectionLog-2025.01.19-01.51.zip
    • timmonn
      Зашифрованы все файлы.
      От timmonn
      Здравствуйте, шифровальщик зашифровал все файлы и переименовал файлы "Примерфайла.xml.[ID-6F6D95A2].[blackdecryptor@gmail.com].9w8ww
      Не смог найти название этого шифровальщика чтоб поискать дешифровщик.
      Прошу помочь с расшифровкой.
      Addition.txt FRST.txt файлы.zip
    • SAVXNNXH
      [РЕШЕНО] два файла dwm.exe
      От SAVXNNXH
      При включении ПК запускается два файла dwm.exe, один из которых нагружает ПК на 70%, но при запуске Диспетчера задач файл снижает нагрузку до 0%. Путь двух dwm введет к оригинальному файлу. Антивирусы не видят этот файл
      CollectionLog-2025.01.15-20.17.zip
    • Gistap
      Два файла Dwm.exe
      От Gistap
      Когда я включаю пк у меня он начинает сильно шуметь и проц грузиться очень сильно, и грееться до 70 градусов на рабочем столе. Когда я открываю диспетчер задач до 2 dwm.exe который походу майнер снижает моментально нагрузку с цп, но его задачу можно снять и он не будет грузить систему будет только 1 dwm.exe файл. И ещё у того dwm exe который грузит цп путь такой же как и у оригинального, что мне в этом случае делать я уже всё антивирусы перепробовал и в безопасном режиме их прогонял что только я не делал, не должен же себя так вести себя dwm exe почему когда я открываю диспетчер задач нагрузка моментально падает это же не нормально. Я думал что это майнер, антивирусы находили трояны я их удалял в безопасном режиме. Почему их воопще 2 может эта ошибка системы?

×
×
  • Создать...