ransom.shade Троян- Шифрование файлов better_call_saul

7 апреля, 2016

Прорвался троян

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

2756B3CA090D7059FBFA|0

на электронный адрес Kudryavtsev.Panfil@gmail.com .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае

их изменения расшифровка станет невозможной ни при каких условиях.

Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),

воспользуйтесь резервным адресом. Его можно узнать двумя способами:

1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en

В адресной строке Tor Browser-а введите адрес:

http://cryptorzimsbfbkx.onion/

и нажмите Enter. Загрузится страница с резервными email-адресами.

2) В любом браузере перейдите по одному из адресов:

http://cryptorzimsbfbkx.onion.to/

http://cryptorzimsbfbkx.onion.cab/

CollectionLog-2016.04.07-18.30.zip

README4.txt

report1.log

report2.log

7 апреля, 2016

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):



begin

 QuarantineFile('C:\Documents and Settings\Бухгалтер\Local Settings\Application Data\Obsgics\31B43C10.exe','');

 TerminateProcessByName('c:\documents and settings\Бухгалтер\local settings\application data\obsgics\31b43c10.exe');

 QuarantineFile('c:\documents and settings\Бухгалтер\local settings\application data\obsgics\31b43c10.exe','');

 DeleteFile('c:\documents and settings\Бухгалтер\local settings\application data\obsgics\31b43c10.exe','32');

 DeleteFile('C:\Documents and Settings\Бухгалтер\Local Settings\Application Data\Obsgics\31B43C10.exe','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Obsgics');

ExecuteSysClean;

RebootWindows(true);

end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:



begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

Сделайте новые логи Автологгером.

7 апреля, 2016

Если возможность расшифровать файлы, так как это бухгалтерский компьютер?Так как сам антивирус уже удалил троян.
заранее благодарен.

Изменено 7 апреля, 2016 пользователем Dionissiytlt

7 апреля, 2016

Выполняйте что вам пишут. У вас зверье на горячую сейчас работает.

8 апреля, 2016

Письмо отправлено, лог выложен.

CollectionLog-2016.04.08-11.00.zip

8 апреля, 2016

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

8 апреля, 2016

Сделано.

Addition.txt

FRST.txt

8 апреля, 2016

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:

CloseProcesses:

CHR HKU\S-1-5-21-725345543-261478967-1417001333-1004\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

HKU\S-1-5-21-725345543-261478967-1417001333-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://home.tb.ask.com/index.jhtml?n=77FD35DB&p2=^Y6^xdm067^YYA^ru&ptb=B64CBD01-BFB9-4474-B16F-D2E37ABEBD81&si=swissconverter

SearchScopes: HKLM -> DefaultScope {9a216821-0ec5-49a3-85ac-fb72ae79a1e8} URL = hxxp://search.tb.ask.com/search/GGmain.jhtml?p2=^Y6^xdm067^YYA^ru&si=swissconverter&ptb=B64CBD01-BFB9-4474-B16F-D2E37ABEBD81&ind=2014073006&n=780c50ae&psa=&st=sb&searchfor={searchTerms}

SearchScopes: HKLM -> {9a216821-0ec5-49a3-85ac-fb72ae79a1e8} URL = hxxp://search.tb.ask.com/search/GGmain.jhtml?p2=^Y6^xdm067^YYA^ru&si=swissconverter&ptb=B64CBD01-BFB9-4474-B16F-D2E37ABEBD81&ind=2014073006&n=780c50ae&psa=&st=sb&searchfor={searchTerms}

SearchScopes: HKU\S-1-5-21-725345543-261478967-1417001333-1004 -> {9a216821-0ec5-49a3-85ac-fb72ae79a1e8} URL = hxxp://search.tb.ask.com/search/GGmain.jhtml?p2=^Y6^xdm067^YYA^ru&si=swissconverter&ptb=B64CBD01-BFB9-4474-B16F-D2E37ABEBD81&ind=2014073006&n=780c50ae&psa=&st=sb&searchfor={searchTerms}

2016-04-07 11:28 - 2016-04-08 10:30 - 00000000 ____D C:\Documents and Settings\Бухгалтер\Local Settings\Application Data\Ubkmedia

2016-04-07 11:27 - 2016-04-08 10:30 - 00000000 ____D C:\Documents and Settings\Бухгалтер\Local Settings\Application Data\Obsgics

2016-04-07 11:26 - 2016-04-07 11:26 - 03932214 _____ C:\Documents and Settings\Бухгалтер\Application Data\73835BBA73835BBA.bmp

2016-04-06 14:58 - 2016-04-07 14:41 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows

 zip:C:\FRST\Quarantine

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

8 апреля, 2016

Сделано.

Fixlog.txt

8 апреля, 2016

Коммерческая лицензия на Антивирус Касперского у вас есть?

8 апреля, 2016

Да ключ

Изменено 8 апреля, 2016 пользователем Sandor
код не выкладывайте

8 апреля, 2016

Пишите запрос тогда http://forum.kasperskyclub.ru/index.php?showtopic=48525

8 апреля, 2016

Спасибо.

ransom.shade Троян- Шифрование файлов better_call_saul

Рекомендуемые сообщения

Dionissiytlt

mike 1

Dionissiytlt

mike 1

Dionissiytlt

mike 1

Dionissiytlt

mike 1

Dionissiytlt

mike 1

Dionissiytlt

mike 1

Dionissiytlt

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum