Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)
Идём на летний корпоратив «Лаборатории Касперского»! Кто с нами? :)

Зашифрованы офисные документы Better_call_saul

ReDMaN
 Поделиться

Рекомендуемые сообщения

ReDMaN

ReDMaN

Опубликовано
Опубликовано

Добрый день.

Вчера менеджеры открыли письмо якобы от Ростелекома "счет на оплату" по почте.

Один не смог открыть и переслал второму... 

После открытия все офисные документы были зашифрованы, с окончанием better_call_saul, реквизитов для контакта файл не создало.

Есть лицензия на Kaspersky Endpoint Security Стандартный.

Почистил актуальными версиями Dr.Web CureIt! и KVRT. 

Затем был запущен на обоих ноутбуках AutoLogger и FRST

Результаты во вложении.

 

NB - 1 (Elena).zip

nb - 2 (Anton).zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Здесь будем продолжать по логам NB - 1 (Elena).zip

Для второго ПК создайте отдельную тему и там прикрепите соотв. логи.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM-x32\...\RunOnce: [{A30B2C8F-B097-49BE-98FA-C00B08FC70F0}] => cmd.exe /C start /D "C:\Users\Admin\AppData\Local\Temp\{5AA412B1-6668-4966-A3E1-1BDEF35C4165}" /B {A30B2C8F-B097-49BE-98FA-C00B08FC70F0}.exe -accepteula -postboot -postad 1 <===== ATTENTION
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-4280057895-3134144890-2122291466-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
2016-04-11 14:26 - 2016-04-11 19:22 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-04-11 14:26 - 2016-04-11 19:22 - 00000000 __SHD C:\ProgramData\Windows
Task: {2F57269B-1E09-4E2D-AB1E-B0FDAC7D279C} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> No File <==== ATTENTION
Task: {AC4E5ACF-89F7-4220-BA21-81EE183975E2} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION
Task: {CEE64558-E1A7-4D9D-80A7-2001912BE5B5} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> No File <==== ATTENTION
Task: {FA2BC0A6-8D4B-458A-85C8-2B8C72487513} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> No File <==== ATTENTION
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ad.mup.apb
      RANSOM: win32.Troldesh.A (.no_more_ransom)
      Автор ad.mup.apb
      Доброго дня суток!
       
      Пришло письмо по электронной почте mail.ru, а точнее после перехода по ссылке в письме, ативирус Microsoft Security Essentials выдал тревогу о заражении, потребовал перезагрузку ПК, но после перезагрузки документы. созданные в MS Word были зашифрованы, и была затронута часть файлов в локальной сети (по-видимому через присоединённый сетевой диск). ПК от вирусов очищен. Вирус RANSOME:Win32/Troldesh.A.
       
      Спасибо.
       
      P.S. Пароль от архива зашифрованного файла напишу в личку, потому как не знаю какова ценность информации в нём.
      CollectionLog-2016.12.09-17.52.zip
      JnwCMC8DM-k39Nd6TAuftPenIG+zOJbjxDfVL5mC8Zg=.9572245BE6D0AF7A5900.rar
      README1.txt
    • as5
      Зашифрованы файлы, расширение: *.no_more_ransom.
      Автор as5
      Через почту попал шифровальщик.
      Зашифрованы документы и базы 1С.
      Прошу помочь в восстановлении информации.
      CollectionLog-2016.12.16-02.54.zip
      README1.txt
      образцы.rar
    • MasterAg
      шифровальщик .no_more_ransom [Shade Ransomware]
      Автор MasterAg
      28 ноября схватили шифровальшик. Покоцал оффис-ные файлы.
      Autologger  файл CollectionLog-yyyy.mm.dd-hh.mm.zip не создал .
      Что - делать дальше ?
      Avz Вылетает , остальные логи прикрепил
      AutoLogger.zip
    • amazalov
      Поймал вирус-шифровальщик no-more-ransom
      Автор amazalov
      Здравствуйте! 
      Проблема .no_more_ransom
      Не уследил, загадило комп (операционка win10-64) кучей всего.  Касперским тотал с большим трудом через утилиту все вычистил, но остались зашифрованные файлы фото, видео и документы, расширение  .no_more_ransom. Самостоятельно попробовал дешифраторами все проверить, но не вышло. Логи сохранил, во вложении. Помогите, пожалуйста, что делать в этом случае? Лог прилагаю. Если есть такая, дайте кто-нибудь ссылку на правильную программу для дешифрования! Образец зашифрованного файла и его оригинала - также во вложении. Оригинал на съемном носителе нашел, определил по размеру файла, в папке был самый маленький, другого такого не было, так что я думаю это исходник и зашифрованный вариант.
      Поправка - зашифрованный файл не загрузился на форум, так что оригинал я тоже не шлю.
      Addition.txt
    • Виталий Kyky
      Зашифровались все файлы на пк
      Автор Виталий Kyky
      Скачал файл в почте от налоговой, после этого все файлы зашифровались на компьютере в формат .no_more_ransom. 
      CollectionLog-2016.12.15-22.47.zip
      README1.txt
×
×
  • Создать...