Перейти к содержанию

вирус шифровальщик better_call_saul

makc-m
 Share

Рекомендуемые сообщения

makc-m Новичок

makc-m

Опубликовано
Опубликовано

Здравствуйте,

 

на машине был запущен каспер 6.0 для Windows Workstations MP4

пришло письмо, скачали архив, запустили скритп,

как этог доков нет, красные буквы на заставке и куча ридми:

 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
6B5E0E9964D48E96E3DD|0
на электронный адрес files2549@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
их изменения расшифровка станет невозможной ни при каких условиях.

 

прогнал авз - чисто

 

логи автологера прикладываю

 

прошу помочь

CollectionLog-2016.04.05-09.16.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
 QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe','');
 DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты
makc-m Новичок

makc-m

Опубликовано
  • Автор
Опубликовано (изменено)

новые логи и текст письма:

KLAN-4039800425

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

csrss.exe - Trojan-Ransom.Win32.Shade.xl

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ru http://www.viruslist.ru"

CollectionLog-2016.04.05-12.34.zip

Изменено пользователем makc-m
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Toolbar: HKU\S-1-5-21-3060291316-1124845578-2977391739-1124 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README9.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README8.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README7.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README6.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README5.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README4.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README3.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README2.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README10.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README1.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README9.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README8.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README7.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README6.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README5.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README4.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README3.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README2.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README10.txt
2016-04-04 14:48 - 2016-04-05 10:57 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • Юрий Ч
      Шифровальщик с расширением .pussylikeashavel-VDwOdhMlTSSzwonBISwPaN-iUT48ohlKrYg8yifZcRQ
      От Юрий Ч
      1
    • Saul
      Шифровальщик. Расширение aiLuw2ie
      От Saul
      Добрый день!
      Вот такое поймали, зашифрованы все файлы на сетевой шаре.
      Есть способы для расшифровки?
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://tox.chat/clients.html
      https://github.com/uTox/uTox/releases/
      https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
      и добавьте нас
       
      2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
      1.zip
    • Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3)
      От Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3).
      Просим помощи в расшифровке
      Файл вируса в архиве имеется.
      Убиты все сервера компании.
       
      Mimo.rar
    • SS78RUS
      Атаковали через уязвимость NAS
      От SS78RUS
      Добрый вечер. 
      С нами случилась ситуация 1в1 с вышеописанной. NAS Zyxel 326 со всеми патчами, отключены все выходы во внешнюю сеть, работал только как локальное хранилище, всё равно атаковали через уязвимость самого NAS -создали облачного пользователя, которого даже удалить не могу.
      Подскажите, какой вариант с починкой файлов? Заранее спасибо.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Din
      Есть приватный ключ
      От Din
      Есть приватный ключ, подскажите как и чем расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...