Перейти к содержанию

Вирус шифровальщик все зашифровал.

SC-12
 Поделиться

Рекомендуемые сообщения

SC-12

SC-12

Опубликовано
Опубликовано

На почту пришел файл. Открыли, все зашифровало. 
Файлы получили расширение- "BETTER_CALL_SAUL"
-----------------------------------------------------------------------
Логи и зашифрованные файлы прилагаю все в архиве.
-----------------------------------------------------------------------
файл README.txt с требованиями злоумышленников приложить не получилось. Пишу с другого компьютера, антивирус нашел в этом файле вирус. 

Приложение.rar

mike 1

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

 TerminateProcessByName('c:\programdata\windows\csrss.exe');

 QuarantineFile('c:\programdata\windows\csrss.exe','');

 DeleteFile('c:\programdata\windows\csrss.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');

 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');

 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');

 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');

 DeleteFile('C:\Windows\Tasks\PennyBee.job','32');

 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');

 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');

 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');

 DeleteFile('C:\Windows\system32\Tasks\SidebarExecute','64');

ExecuteSysClean;

RebootWindows(true);

end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 

 

SC-12

SC-12

Опубликовано
  • Автор
Опубликовано

Прикладываю новый лог. Сообщение на почту отправил.
---------------------------------------------------------------------------

 

Вдобавок выкладываю требования злоумышленников. 

Лариса Картамышева <kartamysheva.larisa@gmail.com>

 
 
 Стоимость дешифровки 33000р. Пришлите 1 файл(бесплатно расшифровываю 1 файл весом до 10 мб,не содержащий важной информации, только для того чтобы вы смогли опознать, что это ваш файл, 
никаких отчетностей, дипломов, курсовых, презентаций бесплатно расшифровываться не будет и мы расшифруем в качестве подтверждения того что файлы могут быть восстановлены).
В течение от 5 минут до часа с момента оплаты вышлем программу и ключ которая в точности вернет все как было. 
Не пытайтесь восстановить данные с помощью антивирусных утилит, испортите все файлы
Если хотите попробывать, пробуйте на другом ПК и минимум файлов, иначе потом даже я не смогу помочь.

 

CollectionLog-2016.04.26-09.42.zip

mike 1

mike 1

Опубликовано
Опубликовано

Аппетиты растут смотрю. 

 

 

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
Прикрепите отчет к своему следующему сообщению.

 
Подробнее читайте в этом руководстве.
mike 1

mike 1

Опубликовано
Опубликовано
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
SC-12

SC-12

Опубликовано
  • Автор
Опубликовано

Как понял эти программы для удаления оставшихся вирусов, и рекламных приложений. По поводу расшифровки ждать нечего я понимаю :rolleyes:

mike 1

mike 1

Опубликовано
Опубликовано

У Вас шифровальщик на горячую работал. По расшифровке можете писать запрос в техподдержку, если конечно лицензия на Антивирус Касперского у вас есть. 

SC-12

SC-12

Опубликовано
  • Автор
Опубликовано (изменено)

У Вас шифровальщик на горячую работал. По расшифровке можете писать запрос в техподдержку, если конечно лицензия на Антивирус Касперского у вас есть. 

Лицензия имеется. Но, в техподдержке ответили что-

 

 "По зашифрованным файлам выполнена проверка. К сожалению, восстановление данных, зашифрованных Trojan-Ransom.Win32.Shade, не представляется возможным, вредоносная программа использует стойкий алгоритм шифрования, а ключ находится у злоумышленников. 

Вполне возможно, что в будущем ключ дешифровки всё-таки будет найден и нам удастся восстановить зашифрованные данные, поэтому рекомендуем не удалять зашифрованные файлы и через некоторое время снова обратиться к нам, мы повторно попытаемся расшифровать ваши файлы, например, в июле.

 

 

Во избежание таких ситуаций в будущем крайне важно держать компонент Мониторинг Активности включённым, с ним риск потери файлов сводится к минимуму. Подробнее о механизме работы компонента можно почитать в нашей базе знаний: http://support.kaspersky.ru/12091 

 

К сожалению, это пока всё, что мы можем сделать. Благодарим за понимание." 

------------------------------------------------------------------------------------------------------------

Пробовал с помощью R-Studio файлы выцепить. Но видимо вирус совсем адский все затер.

Вытащил только некоторые файлы word`а, и всякую ненужную хрень)

У Вас шифровальщик на горячую работал. По расшифровке можете писать запрос в техподдержку, если конечно лицензия на Антивирус Касперского у вас есть. 

И еще как это "на горячую"? 

Если бы например во время его открытия, т.е он начал шифровать, глушить комп из розетки. Должен же остаться где-то в реестре или еще где алгоритм, по которому он шифрует, его "код" шифрования, если можно так сказать.

Изменено пользователем SC-12
mike 1

mike 1

Опубликовано
Опубликовано

 

 

И еще как это "на горячую"? 

Файлы ваши продолжали шифроваться. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • eturrno
      MEM:Trojan.Win32.SEPEH.gen нужна помощь в удалении данного трояна
      Автор eturrno
      была попытка удалить через KVRT(Kaspersky Virus Removal Tool), он троян не нашел. После с помощью uvs latest.zip сделала файл где по идеи должно показываться где он  находиться. хотелось бы чтобы помогли разобраться где зарылся троян и как его удалить, ниже прикреплю его LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z
      LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z 
      license.txt readme.txt
    • TRoll2026
      ВИН ХР 2014год. Некто зашифровал мои личные фотографии. Помогите
      Автор TRoll2026
      16 04.rar
    • drxon004
      Нужна помощь удалить троян Trojan:Win32/Kepavll!rfn
      Автор drxon004
      Где-то подцепил троян Trojan:Win32/Kepavll!rfn. При запуске постоянно вылетает ошибка autoit C:\Programdata\ReaItekHD\taskhost.exe, еще это видимо какой-то скрипт, ибо он не дает заходить на сайты связанные с антивирусом, даже на этом форуме я сейчас пишу через другое устройство, прогнал через Microsoft defender, он его удалить не смог, в затронутых элементах: C:\Programdata\ReaItekHD\taskhost.exe, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck, так же не дает запускать в безопасном режиме (закрывает окно, когда запускаю msconfig), даже и не знаю что делать, пробовал и cureit, он тоже не помог
    • Dmitryy120
      Как работает kvrt?
      Автор Dmitryy120
      Допустим я скачал какой то exe файл с какого то подозрительного сайта ( я не запускал его) , и хочу просканировать его на своем ноуте через утилиту KVRT перед запуском , и выбираю эту подозрительную программу, как KVRT ее просканирует , он запустит ее на моем ноутбуке, или как выполняется сканирование ? Просто предположу , допустим это какой то стилер или другое вредоносное ПО, kvrt во время проверки запускает эту программу на моем компьютере , она выполняет свою вредоносную функцию , ворует данные с компьютера или что то еще , kvrt еще обнаруживает и удаляет. По сути программа уже выполнила свод функцию и украла все данные. И может удаляться, это работает по такому сценарию, который я предположил или сканирование проходит по другому ?
    • Владхелп
      Подвисание и замедление ноута
      Автор Владхелп
      Во время работы в школе подключил "грязную флешку", на след день заметил сильный перегрев и замедление ноутбука
      CollectionLog-2026.02.14-22.35.zip
×
×
  • Создать...