Перейти к содержанию

вирус шифровальщик better_call_saul

makc-m
 Поделиться

Рекомендуемые сообщения

makc-m

makc-m

Опубликовано
Опубликовано

Здравствуйте,

 

на машине был запущен каспер 6.0 для Windows Workstations MP4

пришло письмо, скачали архив, запустили скритп,

как этог доков нет, красные буквы на заставке и куча ридми:

 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
6B5E0E9964D48E96E3DD|0
на электронный адрес files2549@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
их изменения расшифровка станет невозможной ни при каких условиях.

 

прогнал авз - чисто

 

логи автологера прикладываю

 

прошу помочь

CollectionLog-2016.04.05-09.16.zip

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
 QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe','');
 DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

makc-m

makc-m

Опубликовано
  • Автор
Опубликовано (изменено)

новые логи и текст письма:

KLAN-4039800425

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

csrss.exe - Trojan-Ransom.Win32.Shade.xl

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ru http://www.viruslist.ru"

CollectionLog-2016.04.05-12.34.zip

Изменено пользователем makc-m
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Toolbar: HKU\S-1-5-21-3060291316-1124845578-2977391739-1124 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README9.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README8.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README7.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README6.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README5.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README4.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README3.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README2.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README10.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README1.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README9.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README8.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README7.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README6.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README5.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README4.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README3.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README2.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README10.txt
2016-04-04 14:48 - 2016-04-05 10:57 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
makc-m

makc-m

Опубликовано
  • Автор
Опубликовано

велели ждать чуда

 

спасибо

 

З.Ы. ну очень глупый вопрос: как тему закрыть?

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ИТ45
      Trojan.Encoder.35209
      Автор ИТ45
      Добрый день! Просим помощи у кого есть дешифратор
    • Shade_art
      Поймали шифровальщик. platishilidrochish@fear.pw
      Автор Shade_art
      Добрый день. 
      Поймали вирус шифровальщик. Тут есть умельцы помочь с этой проблемой?
    • FineGad
      Шифровальщик WantToCry
      Автор FineGad
      26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 
      Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.
       
      !want_to_cry.txt
    • lex-xel
      Сервер подвергся взлому
      Автор lex-xel
      Добрый день!
      Аналогичная ситуация  сервер подвергся взлому, база данных заархивирована с шифрованием.
      Антивирус снесли, хоть он был под паролем.
      Подскажите есть способ как то исправить ситуацию, расшифровать базу данных?
       
      Do you really want to restore your files?
      Write to email: a38261062@gmail.com
       
      Сообщение от модератора Mark D. Pearlstone перемещено из темы.
         
    • Saul
      Шифровальщик. Расширение aiLuw2ie
      Автор Saul
      Добрый день!
      Вот такое поймали, зашифрованы все файлы на сетевой шаре.
      Есть способы для расшифровки?
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://tox.chat/clients.html
      https://github.com/uTox/uTox/releases/
      https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
      и добавьте нас
       
      2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
      1.zip
×
×
  • Создать...