Перейти к содержанию

Вирус шифровальщик все зашифровал.

SC-12
 Поделиться

Рекомендуемые сообщения

SC-12

SC-12

Опубликовано
Опубликовано

На почту пришел файл. Открыли, все зашифровало. 
Файлы получили расширение- "BETTER_CALL_SAUL"
-----------------------------------------------------------------------
Логи и зашифрованные файлы прилагаю все в архиве.
-----------------------------------------------------------------------
файл README.txt с требованиями злоумышленников приложить не получилось. Пишу с другого компьютера, антивирус нашел в этом файле вирус. 

Приложение.rar

mike 1

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

 TerminateProcessByName('c:\programdata\windows\csrss.exe');

 QuarantineFile('c:\programdata\windows\csrss.exe','');

 DeleteFile('c:\programdata\windows\csrss.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');

 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');

 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');

 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');

 DeleteFile('C:\Windows\Tasks\PennyBee.job','32');

 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');

 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');

 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');

 DeleteFile('C:\Windows\system32\Tasks\SidebarExecute','64');

ExecuteSysClean;

RebootWindows(true);

end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 

 

SC-12

SC-12

Опубликовано
  • Автор
Опубликовано

Прикладываю новый лог. Сообщение на почту отправил.
---------------------------------------------------------------------------

 

Вдобавок выкладываю требования злоумышленников. 

Лариса Картамышева <kartamysheva.larisa@gmail.com>

 
 
 Стоимость дешифровки 33000р. Пришлите 1 файл(бесплатно расшифровываю 1 файл весом до 10 мб,не содержащий важной информации, только для того чтобы вы смогли опознать, что это ваш файл, 
никаких отчетностей, дипломов, курсовых, презентаций бесплатно расшифровываться не будет и мы расшифруем в качестве подтверждения того что файлы могут быть восстановлены).
В течение от 5 минут до часа с момента оплаты вышлем программу и ключ которая в точности вернет все как было. 
Не пытайтесь восстановить данные с помощью антивирусных утилит, испортите все файлы
Если хотите попробывать, пробуйте на другом ПК и минимум файлов, иначе потом даже я не смогу помочь.

 

CollectionLog-2016.04.26-09.42.zip

mike 1

mike 1

Опубликовано
Опубликовано

Аппетиты растут смотрю. 

 

 

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
Прикрепите отчет к своему следующему сообщению.

 
Подробнее читайте в этом руководстве.
mike 1

mike 1

Опубликовано
Опубликовано
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
SC-12

SC-12

Опубликовано
  • Автор
Опубликовано

Как понял эти программы для удаления оставшихся вирусов, и рекламных приложений. По поводу расшифровки ждать нечего я понимаю :rolleyes:

mike 1

mike 1

Опубликовано
Опубликовано

У Вас шифровальщик на горячую работал. По расшифровке можете писать запрос в техподдержку, если конечно лицензия на Антивирус Касперского у вас есть. 

SC-12

SC-12

Опубликовано
  • Автор
Опубликовано (изменено)

У Вас шифровальщик на горячую работал. По расшифровке можете писать запрос в техподдержку, если конечно лицензия на Антивирус Касперского у вас есть. 

Лицензия имеется. Но, в техподдержке ответили что-

 

 "По зашифрованным файлам выполнена проверка. К сожалению, восстановление данных, зашифрованных Trojan-Ransom.Win32.Shade, не представляется возможным, вредоносная программа использует стойкий алгоритм шифрования, а ключ находится у злоумышленников. 

Вполне возможно, что в будущем ключ дешифровки всё-таки будет найден и нам удастся восстановить зашифрованные данные, поэтому рекомендуем не удалять зашифрованные файлы и через некоторое время снова обратиться к нам, мы повторно попытаемся расшифровать ваши файлы, например, в июле.

 

 

Во избежание таких ситуаций в будущем крайне важно держать компонент Мониторинг Активности включённым, с ним риск потери файлов сводится к минимуму. Подробнее о механизме работы компонента можно почитать в нашей базе знаний: http://support.kaspersky.ru/12091 

 

К сожалению, это пока всё, что мы можем сделать. Благодарим за понимание." 

------------------------------------------------------------------------------------------------------------

Пробовал с помощью R-Studio файлы выцепить. Но видимо вирус совсем адский все затер.

Вытащил только некоторые файлы word`а, и всякую ненужную хрень)

У Вас шифровальщик на горячую работал. По расшифровке можете писать запрос в техподдержку, если конечно лицензия на Антивирус Касперского у вас есть. 

И еще как это "на горячую"? 

Если бы например во время его открытия, т.е он начал шифровать, глушить комп из розетки. Должен же остаться где-то в реестре или еще где алгоритм, по которому он шифрует, его "код" шифрования, если можно так сказать.

Изменено пользователем SC-12
mike 1

mike 1

Опубликовано
Опубликовано

 

 

И еще как это "на горячую"? 

Файлы ваши продолжали шифроваться. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Николай212322122
      Вирус майнер realtek hd audio не удаляться до конца
      Автор Николай212322122
      Переустановили винду в сервизном центре. По приходу домой обнаружил вирус realtek hd audio, который включается по автозагрузке и не дает скачать антивирусы. Dr web cureit получилось перекинуть через месенжер и сделать проверку, он нашел большое количество угроз. Но не все смог вылечить, я скачал Kaspersky virus removal tool и он тоже нашел вирусы. Я запускал несколько раз эти утелиты и вроде бы угроз больше не обнаруживается. Но в автозагрузках я опять вижу realtek hd audio выключенным с автозагрузок , хотя после первого сканирование он был вообще удален.
       
      Сейчас Dr web cureit и Kaspersky virus removal tool ничего не находит и realtek hd audio выключен с автозагрузок и я могу вписывать антивирус в бразуер и он сразу не закрывается, так же могу зайти ProgramData. Но все равно realtek hd audio весит в автозагрузках и когда первый раз запускал Dr web cureit он написал что не все вылечил, так что есть подозрение что вирус еще на компьютере остался.
       
      Подскажите пж, что делать?
       
      Прикрепить логи от Dr web cureit не получаеться так как они больше 5 мб. Где получить логи от Kaspersky virus removal tool я не нашел. Подскажите как отправить логи
    • AndreyGrom89
      Вирус\майнер CAAServise
      Автор AndreyGrom89
      Доброго времени суток. Недавно обнаружил повышенную нагрузку на ГП. В диспетчере задач было обнаружено два процесса microsoft network realtime inspection service, один из которых и грузил карту. Поиском в инете нашел инфу о возможном майнере. Выполнил рекомендации из поста, не на данном форуме, рекомендации помогли, но увы не надолго, после некоторого времени проблема появилась вновь. Сегодня наткнулся на этот форум с похожей темой. Проверял комп Defender`ом, он проблему не находил. Обнаружил данный "файл" в исключениях, удалил оттуда. По рекомендации с соседней темы скачал FRST, сделал проверку, результаты прикрепил. Какие дальнейшие действия можно применить??
      Addition.txt FRST.txt
    • Fasolka
      Не получается удалить Trojan.Siggen31.49942
      Автор Fasolka
      Обьект: app.dll             Путь: C:\Users\lucif\AppData\Local\Temp\310HkrIkW1H0uUQZkVZi2Qlb5qF\resources\app.asar.unpacked\dist\electron\assets\app.dll
    • Владхелп
      [РЕШЕНО] Подозрение на вирус, подвисания
      Автор Владхелп
      Здравствуйте,
      Недавно переносил файлы с флешки друга, после этого начал подвисать и греться ноутбук, защитник ничего не видит
      CollectionLog-2025.12.22-22.00.zip
    • shougo04
      [РЕШЕНО] Client Helper вирус, помогите
      Автор shougo04
      Всем привет. Первый раз пишу сюда, отчаялся сильно. Уже качал Malwarebytes который на компе выявил 1 троян, несколько значений реестра от программы DriverIdentifier и что-то ещё, что я забыл. После того как я всё это удалил, вручную почистил реестр от подозрительных, старых, лишних значений, всё равно тыкаю Диспетчер задач - нагрузка ЦП (не видюхи) 40%+ и при открытии диспетчера падает соответственно до 1-3%. Так же использовал программу M1nerSearch, которая так же удалила 4 файла и 1 значение реестра по-моему, лог сохранился, если что прикреплю. 
       
      Я зашёл в Speccy и там обнаружил вкладку "планировщик задач" где увидел очень подозрительные процессы.  В планировщике задач обнаружил Client Helper(который MinerSearch как вирус определял), и Edgeupdate которые как я выяснил могут являться знаками наличия вируса. Вирусы получал крайне редко, и то очень давно, поэтому несильно шарю в них, извините.
      Я сейчас скачаю программу Revo uninstaller и попробую с помощью неё ещё что-нибудь сделать. Так же отмечу что вытаскивал кабель инета, устанавливал CCleaner, чистил комп, чистил реестр с помощью неё, потом обратно инет подключал. Так же исправлял ошибки реестра программой Wise Registry Cleaner.
       
      На всякий случай прикрепил 2 лога от MinerSearch, 1-й в котором указаны кол-во запусков 1 это тот лог, который при первом запуске мне и показал 5 проблем. 
      2 лог это лог уже второй проверки после всех вышеописанных манипуляций с ПК, он не обнаружил проблем, но как видите они остались, так что хз.
       
       
      Скрин подозрительной активности в Планировщике.
       
       
      MinerSearch_12_17_2025_7-15-07_PM.log MinerSearch_12_17_2025_8-23-48_PM.log
×
×
  • Создать...