Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте,

 

на машине был запущен каспер 6.0 для Windows Workstations MP4

пришло письмо, скачали архив, запустили скритп,

как этог доков нет, красные буквы на заставке и куча ридми:

 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
6B5E0E9964D48E96E3DD|0
на электронный адрес files2549@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
их изменения расшифровка станет невозможной ни при каких условиях.

 

прогнал авз - чисто

 

логи автологера прикладываю

 

прошу помочь

CollectionLog-2016.04.05-09.16.zip

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
 QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe','');
 DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на сообщение
Поделиться на другие сайты

новые логи и текст письма:

KLAN-4039800425

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

csrss.exe - Trojan-Ransom.Win32.Shade.xl

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ru http://www.viruslist.ru"

CollectionLog-2016.04.05-12.34.zip

Изменено пользователем makc-m
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Toolbar: HKU\S-1-5-21-3060291316-1124845578-2977391739-1124 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README9.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README8.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README7.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README6.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README5.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README4.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README3.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README2.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README10.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README1.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README9.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README8.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README7.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README6.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README5.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README4.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README3.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README2.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README10.txt
2016-04-04 14:48 - 2016-04-05 10:57 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От tvvvitos
      Добрый день! Поймал шифровальщик, по видимому Cryakl. Файлы прилагаю. Есть ли шанс расшифровать файлы? 
      encrypted.rar
    • От Smirnov85
      шифровальщик зашифровал файлы, в именах зашифрованных файлов присутствует secure[dealinfrm@cock.li]. Стандартные дешифровальщики от лаборатории Касперского не помогли (RakhniDecryptor, ShadeDecryptor, RannohDecryptor). Лог согласно инструкции прилагаю
      CollectionLog-2021.05.18-15.33.zip
    • От AgentSAB
      Доброго времени суток.
      Пользователь где-то словил шифровальщик LIZARD
      Помогите с дешифровкой.
      Прикрепляю логи, зашифрованные файлы и требование шифровальщика. Сам файл шифровальщика не нашёл.
      Спасибо
      Логи.rar Зашифрованные файлы.rar Требование.rar
    • От asdf33
      Здравствуйте! 7-го или 8-го мая 2021 года, был заражен компьютер с архивами баз 1с, скорее всего по RDP каналу. 10-го мая было обнаружено, что система ушла в BSOD и более не запускается. Провёл проверку жесткого диска на здоровом компьютере, обнаружил HEUR:Trojan-Ransom.Win32.Cryakl.gen Объект: _ms_manpld_upd144.exe. Практически все файлы зашифрованы. Система была тут же установлена начисто. Возможно ли расшифровать хотя бы файлы архивов 1с сохраненные в dt и zip? Прикладываю зашифрованный текстовый файл archiv.zip и шифровальщика _ms_manpld_upd144.zip с указаным паролем. Само собой логи анализа системы и записки с требованием нет (система уже не запускалась).
      archiv.zip
    • От kostia7alania
      Зашифровали все файлы, в каждой папке есть хелп с таким html:
       
      Your files will be leak after 2 days 21:12:21 Decrypt files? Write to this mails: honestandhope@qq.com or . mail honestandhope@qq.com.
      You unique ID [3EBA0CD9-36A432CE] [copy]  
      Написал им на почту honestandhope@qq.com и вот что ответили:
      Я ответил, что у меня нет таких денег. И вот ответ:
      We can make a price of $ 1500 if you pay this week. Many russians using this web service to buy bitcoins https://byware.net/ or https://easybit.pro/ Wallet number: 1KssAVbkUAjjMy7xnrn2yiN1yFjY97PXGH Аfter payment, send a screenshot of your payment and we will send you the decoder and instructions Ребята из Белоруссии уже откликнулись:
       
       
      В архиве сам шифровальщик и примеры: ссылка удалена
      (!) Осторожно ! Не скачивать на свои настоящие девайсы, ток на виртуалку !
      Письмо с требованием :


      Шифруют в начале, а в конце - добавочная инфа о восстановлении:
      см скрин:
       
      РЕбята, а куда скинуть сам шифровальщик? Сюда незя , оказывается (

      Прикреплю по одному зашифрованные файлы
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные файлы и ссылки на них. samples.rar
×
×
  • Создать...