Перейти к содержанию

Зашифрованы файлы и почтовый адрес для связи


Рекомендуемые сообщения

 Добрый день!

На компьютере бухгалтера произошла зашифровка файлов (конкретно 1С и Сбис) замысловатым почтовым адресом (email-edinstveniy_decoder@aol.com .ver-CL 1.2.0.0).

Здесь в соседней теме видел такой же шифровальщик (ссылка https://forum.kasperskyclub.ru/index.php?showtopic=48754) и вроде человеку помогли.

Файлы выглядят таким образом email-edinstveniy_decoder@aol.com .ver-CL 1.2.0.0.id-MMNOPQQQRRSTUUVVVWXXYZZZAABCCDDDEFFG-19.02.2016 7@11@042161268.randomname-ABBBCDEFFFGHHIJJKKLLMNNOOPPQRR.STT , а само расширение файла стало cbf. Поправка - пострадали только файлы с расширением cbf.

 

Прикрепляю файл логгера. Требование было только связаться по почте для расшифровки.

зашифрованныйфайл.rar

CollectionLog-2016.02.24-11.53.zip

report1.log

report2.log

Изменено пользователем Menvik
Ссылка на комментарий
Поделиться на другие сайты

Сообщение от модератора Elly

Не надо в файловое хранилище грузить свои проблемные файлы.

Прочитайте правила и прикрепите файлы к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Сообщение от модератора Elly

Не надо в файловое хранилище грузить свои проблемные файлы.

Прочитайте правила и прикрепите файлы к сообщению.

Каюсь, поторопился, увидел такие же файлы и решил что надо так же. Исправился.

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files (x86)\WebBars\IEEF\CI7HeWz_6w.dll','');
 QuarantineFile('C:\Users\Apserver\AppData\Roaming\mystartsearch\UninstallManager.exe','');
 QuarantineFile('C:\Program Files (x86)\WebBars\9g6tgme.exe','');
 QuarantineFile('C:\Users\Apserver\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE','');
 DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}');
 QuarantineFile('C:\Program Files (x86)\XTab\SupTab.dll','');
 DeleteFile('C:\Program Files (x86)\XTab\SupTab.dll','32');
 DeleteFile('C:\Users\Apserver\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\Tasks\Price Fountain.job','32');
 DeleteFile('C:\Program Files (x86)\WebBars\9g6tgme.exe','32');
 DeleteFile('C:\Windows\Tasks\Update Service for WebBars.job','32');
 DeleteFile('C:\Windows\Tasks\Update Service for WebBars2.job','32');
 DeleteFile('C:\Windows\system32\Tasks\Price Fountain','64');
 DeleteFile('C:\Users\Apserver\AppData\Roaming\mystartsearch\UninstallManager.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{BA9C2992-B477-4835-9F2F-D72AA968E6D1}','64');
 DeleteFile('C:\Program Files (x86)\WebBars\IEEF\CI7HeWz_6w.dll','32');
 DeleteFile('C:\Users\Apserver\AppData\Local\Amigo\Application\44.0.2403.111\libglesv2.dll','32');
 DeleteFile('C:\Users\Apserver\AppData\Local\Amigo\Application\44.0.2403.111\libegl.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

Re: Вирус-шифратор зашифровал cbf файлы [KLAN-3813055446]

Hello,

 

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

 

CI7HeWz_6w.dll,

UPDATE~1.EXE

 

A set of unknown files has been received. They will be sent to the Virus Lab.

 

SupTab.dll - not-a-virus:AdWare.Win32.

SubTab.d

 

This file is an Advertizing Tool, It's detection will be included in the next   update of extended databases set.

 

Best Regards, Kaspersky Lab

 

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  http://www.kaspersky.com http://www.viruslist.com"

 
----
Выполнил.

Еще нашлись текстовые файлы с содержанием:

НАПИШИТЕ ЗА РАСШИФРОВКОЙ НА ПОЧТУ УКАЗАНУЮ В ФАЙЛАХ

УКАЖИТЕ ВАШ ИДЕНТИФИКАТОР В ТЕМЕ ПИСЬМА : 201

ИНАЧЕ ПИСЬМА БУДУТ ИГНОРИРОВАТЬСЯ!

CollectionLog-2016.02.24-13.45.zip

Ссылка на комментарий
Поделиться на другие сайты


Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.


 

Подробнее читайте в этом руководстве.
Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

Отметьте и удалите все найденное в AdwCleaner

Так уже все что он отметил автоматом (а что показал, то и отметил), уже удалил и перезагрузился. Только после этого и получился файл с отчетом.

Ссылка на комментарий
Поделиться на другие сайты

А файл, который запустили, сохранился?

 

+ Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Да, запускаемый файл сохранился.

Заархивируйте с паролем virus, выложите на Яндекс-диск и пришлите ссылку в личные сообщения
Ссылка на комментарий
Поделиться на другие сайты

 

Да, запускаемый файл сохранился.

Заархивируйте с паролем virus, выложите на Яндекс-диск и пришлите ссылку в личные сообщения

 

Я извиняюсь, но нет того вирусного файла, я про другой файл подумал, AdwCleaner.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Max132
      От Max132
      Добрый день! Не могу найти функцию добавления нежелательного почтового ящика, с которого осуществляется спам-рассылка, в ksc 13.2
      Есть ли там функция спам-фильтра не только для файлов, но и для почтовых адресов?
      По сути нужно просто заблокировать почту , но я не вижу подходящего раздела
    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
×
×
  • Создать...