Перейти к содержанию

Рекомендуемые сообщения

На почту пришел файл. Открыли, все зашифровало. 
Файлы получили расширение- "BETTER_CALL_SAUL"
-----------------------------------------------------------------------
Логи и зашифрованные файлы прилагаю все в архиве.
-----------------------------------------------------------------------
файл README.txt с требованиями злоумышленников приложить не получилось. Пишу с другого компьютера, антивирус нашел в этом файле вирус. 

Приложение.rar

Ссылка на сообщение
Поделиться на другие сайты
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 



begin
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
 DeleteFile('C:\Windows\Tasks\PennyBee.job','32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
 DeleteFile('C:\Windows\system32\Tasks\SidebarExecute','64');
ExecuteSysClean;
RebootWindows(true);
end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 



begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.


 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 

 

Ссылка на сообщение
Поделиться на другие сайты

Прикладываю новый лог. Сообщение на почту отправил.
---------------------------------------------------------------------------

 

Вдобавок выкладываю требования злоумышленников. 

Лариса Картамышева <kartamysheva.larisa@gmail.com>

 
 
 Стоимость дешифровки 33000р. Пришлите 1 файл(бесплатно расшифровываю 1 файл весом до 10 мб,не содержащий важной информации, только для того чтобы вы смогли опознать, что это ваш файл, 
никаких отчетностей, дипломов, курсовых, презентаций бесплатно расшифровываться не будет и мы расшифруем в качестве подтверждения того что файлы могут быть восстановлены).
В течение от 5 минут до часа с момента оплаты вышлем программу и ключ которая в точности вернет все как было. 
Не пытайтесь восстановить данные с помощью антивирусных утилит, испортите все файлы
Если хотите попробывать, пробуйте на другом ПК и минимум файлов, иначе потом даже я не смогу помочь.

 

CollectionLog-2016.04.26-09.42.zip

Ссылка на сообщение
Поделиться на другие сайты

Аппетиты растут смотрю. 

 

 

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
Прикрепите отчет к своему следующему сообщению.

 
Подробнее читайте в этом руководстве.
Ссылка на сообщение
Поделиться на другие сайты
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Ссылка на сообщение
Поделиться на другие сайты

Как понял эти программы для удаления оставшихся вирусов, и рекламных приложений. По поводу расшифровки ждать нечего я понимаю :rolleyes:

Ссылка на сообщение
Поделиться на другие сайты

У Вас шифровальщик на горячую работал. По расшифровке можете писать запрос в техподдержку, если конечно лицензия на Антивирус Касперского у вас есть. 

Ссылка на сообщение
Поделиться на другие сайты

У Вас шифровальщик на горячую работал. По расшифровке можете писать запрос в техподдержку, если конечно лицензия на Антивирус Касперского у вас есть. 

Лицензия имеется. Но, в техподдержке ответили что-

 

 "По зашифрованным файлам выполнена проверка. К сожалению, восстановление данных, зашифрованных Trojan-Ransom.Win32.Shade, не представляется возможным, вредоносная программа использует стойкий алгоритм шифрования, а ключ находится у злоумышленников. 

Вполне возможно, что в будущем ключ дешифровки всё-таки будет найден и нам удастся восстановить зашифрованные данные, поэтому рекомендуем не удалять зашифрованные файлы и через некоторое время снова обратиться к нам, мы повторно попытаемся расшифровать ваши файлы, например, в июле.

 

 

Во избежание таких ситуаций в будущем крайне важно держать компонент Мониторинг Активности включённым, с ним риск потери файлов сводится к минимуму. Подробнее о механизме работы компонента можно почитать в нашей базе знаний: http://support.kaspersky.ru/12091 

 

К сожалению, это пока всё, что мы можем сделать. Благодарим за понимание." 

------------------------------------------------------------------------------------------------------------

Пробовал с помощью R-Studio файлы выцепить. Но видимо вирус совсем адский все затер.

Вытащил только некоторые файлы word`а, и всякую ненужную хрень)

У Вас шифровальщик на горячую работал. По расшифровке можете писать запрос в техподдержку, если конечно лицензия на Антивирус Касперского у вас есть. 

И еще как это "на горячую"? 

Если бы например во время его открытия, т.е он начал шифровать, глушить комп из розетки. Должен же остаться где-то в реестре или еще где алгоритм, по которому он шифрует, его "код" шифрования, если можно так сказать.

Изменено пользователем SC-12
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От asdf33
      Здравствуйте! 7-го или 8-го мая 2021 года, был заражен компьютер с архивами баз 1с, скорее всего по RDP каналу. 10-го мая было обнаружено, что система ушла в BSOD и более не запускается. Провёл проверку жесткого диска на здоровом компьютере, обнаружил HEUR:Trojan-Ransom.Win32.Cryakl.gen Объект: _ms_manpld_upd144.exe. Практически все файлы зашифрованы. Система была тут же установлена начисто. Возможно ли расшифровать хотя бы файлы архивов 1с сохраненные в dt и zip? Прикладываю зашифрованный текстовый файл archiv.zip и шифровальщика _ms_manpld_upd144.zip с указаным паролем. Само собой логи анализа системы и записки с требованием нет (система уже не запускалась).
      archiv.zip
    • От Bukaz
      Добрый день. Ноутбук в один момент начал сильно греться и торомозить. Скачал KVRT нашел десяток вирусов, удалил. Лог во вложении
      CollectionLog-2021.05.10-22.13.zip
    • От Ganjabatr1x
      Всем привет. Уже не раз появляется эта зараза......помогите пожалуйста полностью избавиться. Отчет тут https://cloud.mail.ru/public/9ATz/rPQqfwYC4 

    • От Janei
      Здраствуйте. Недавно осознал, что на компьютере установлен майнер. 
      Пытался создать тему по правилам... Но проблема в том, что майнер не дает запустить два антивируса из предложенных. Они сразу закрываются. А также препятствует обновлению базы в AVZ. (для того чтобы собрать логи). Автологгер не получается использовать. Спешу заметить, что вирус закрывает AVZ сам после запуска программы. Собственно, почему понял что майнер. В моменте сёрфинга интернета картинка просто намертво замирает, очень сильно всё лагает до момента пока не открыть диспетчер задач. Картину которую вижу в стандартном диспетчере - загрузка ЦП 99% и через секунду 3%. Отсюда сделал некоторые выводы. Скачал два кастомных ДЗ. Process hacker 2 ( который майнер также распознал и успешно закрывался сам после открытия данного ДЗ) и system explorer. Последний и дал мне понять, что мой железный конь хапнул вируса. в процессах висел файл Microsofthost.exe который грузил 90% процессора. Также вирус сам закрывал оригинальный ДЗ через минуту буквально. Данный вирус прописался в папку windowstask. был скрытым системным файлом.  Обнаружил такую вещь: при попытке сделать видимыми системные файлы. После нажатия кнопки "применить" системные файлы не становятся видимыми навсегда. Как только окошко закрывается, вирус заново ставит галочку "скрывать системные файлы". 
      После остановки процесса удалил из папки все файлы.  (майнер запускал два процесса. один не загружал систему вообще.) Момент истины - Перезагрузка компьютера - ДЗ - майнер снова работает.
      Теперь о проблемах: 
      Антивирусы закрываются через секунду.
      АВЗ закрывается через секунду.
      Майнер закрывается при открытии некоторых ДЗ. 
      После удаления и перезагрузки - майнер восстанавливается. 
      Связано или нет - данный сайт опера гх не может открыть. зашел сюда только под впн. 
      на картинке два процесса из папки майнера.

      Прошу помощи. Логгер запустить не получается. 




    • От puppy
      Поймал вирус. Вроде как и безобидный, т.к особой траты ресурсов системы я не наблюдал, просто насторожило сообщение Windows Defender. Решил покопаться. Порывшись понял, что вирус точно есть. Защитник виндовс якобы все удалил, но естественно не все так просто. Решил скачать уже знакомый и проверенный мне антивирус Касперского, но почему-то доступ был закрыт. Попробовал другие сайты и понял, что закрыт доступ на сайты почти всех антивирусов(Avast, dr.web, kaspersky, 360 и т.п). Прилагаю файл-репорт rkill. Файл hosts был скрыт. Зашел и удалил более 125 лупбэков(127.0.0.1) на разные форумы и сайты по антивирусам. Далее я зашел на сайт Касперского и скачал exe, но он просто не запускается, пол секунды загрузки и все. Тогда я скачал Dr.Web, он поставился. Сделал полный анализ системы и он нашел 27 ошибок и удалил. Но проблема не решилась. Дальше я запустил kaspersky virus removal tool. Сделал анализ, он нашел еще 3 вируса и удалил. Далее я исследовал систему с помощью него, отчет приложу. Теперь exe антивируса запускается, но пишет Неизвестная ошибка и все(составляя отчет о ошибке). Уже устал биться с вирусом, решил сюда написать.
      Я пробовал даже с помощью новой учетки зайти и там установить, та же песня.
      Кстати, когда я копался нашел, что вирусом была создана учетка john со всеми правами. Ее удалил
      Окажите посильную помощь пожалуйста!
      report.txt Rkill.txt CollectionLog-2021.04.12-11.23.zip
      Сейчас проверил, уже и отчеты об ошибке не составляет установщик Касперского...
×
×
  • Создать...