Расшифровка файлов

[Иван91 0]

Перешёл по ссылке из почты, скачал, открыл и появилась  на рабочем столе картинка с текстом "твои файлы зашифрованы, если хочешь всё ввернуть, отправь 1 зашифрованный файл на эту почту: moshiax@aol.com" и зашифровались все документы.

CollectionLog-2016.02.11-18.01.zip

[Roman_Five 598]

проверьте на virustotal.com и приложите ссылку

D:\Users\Лариса\Desktop\privatemail.scr

выполните скрипт в AVZ (инструкция в подписи)

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(true);
end.

после перезагрузки приложите логи FRST (инструкция в подписи)

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

[Иван91 0]

А если при первом сканировании флешка с зашифрованными файлами была вынута, то, по идее Autologger не просканировал каталог с ней? Я так понял, что нужно просканировать с воткнутой флешкой?

[thyrex 1 473]

Сканировать содержимое флешки не нужно

[Иван91 0]

проверьте на virustotal.com и приложите ссылку

D:\Users\Лариса\Desktop\privatemail.scr

выполните скрипт в AVZ (инструкция в подписи)

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(true);
end.

после перезагрузки приложите логи FRST (инструкция в подписи)

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

https://www.virustotal.com/ru/file/4a8fbaf2e908ce11ca5e250215ede9425659ed89da3be3f7697010816e1db332/analysis/

 

 

Addition.txt

FRST.txt

[thyrex 1 473]

D:\Users\Лариса\Desktop\privatemail.scr можно удалять, если еще не сделали.

 

C:\Program Files (x86)\HAERTVCNFQ.PUK тоже удалите вручную.

 

С расшифровкой не поможем