d.sad185 Опубликовано 23 мая, 2016 Share Опубликовано 23 мая, 2016 Здравствуйте. По электронной почте получили письмо с вложением. """""""" Светлана Алексеевна #67170 <buh123-19b@demetra-plus.com> Доброе утро,Наша компания уже задолбалась с вашим руководством выяснять отношения. будьте добры, быстрее оцените квитанцию и скажите Ваши мысли по этому поводу. """""""""" Открыли и в итоге на рабочем столе: <<<<<<<< Мы зашифровали важные файлы на вашем компьютере: документы, базы данных, фото, видео, ключи.Файлы зашифрованны алгоритмом AES 128(https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard) с приватным ключем,который знаем только мы. Зашифрованные файлы имеют расширение .ENIGMA . Расшифровать файлы без приватного ключа НЕВОЗМОЖНО.Если хотите получить файлы обратно:1)Установите Tor Browser https://www.torproject.org/2)Найдите на рабочем столе ключ для доступа на сайт ENIGMA_(номер вашего ключа).RSA3)Перейдите на сайт http://f6lohswy737xq34e.onionв тор-браузере и авторизуйтесь с помощью ENIGMA_(номер вашего ключа).RSA 4)Следуйте инструкциям на сайте и скачайте дешифраторЕсли основной сайт будет недоступен попробуйте http://ohj63tmbsod42v3d.onion/ >>>>>> Все файлы зашифрованы. Работать не можем. Пожалуйста помогите удалить этот вирус. С уважением руководство детсада 185 города Алматы, Казахстан CollectionLog-2016.05.23-19.22.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 23 мая, 2016 Share Опубликовано 23 мая, 2016 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('C:\Users\Kinder Garten\Desktop\enigma.hta',''); QuarantineFile('C:\Users\Kinder Garten\Desktop\9e20a60a752e026fdc096fc9393795e0.exe',''); DeleteFile('C:\Users\Kinder Garten\Desktop\9e20a60a752e026fdc096fc9393795e0.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WorkSoftPresent'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MyProgramOk'); DeleteFile('C:\Users\Kinder Garten\Desktop\enigma.hta','32'); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su. 1. В заголовке письма напишите "Карантин". 2. В письме напишите ссылку на Вашу тему. 3. Прикрепите файл карантина и нажмите "Отправить" Сделайте новые логи Автологгером. Ссылка на комментарий Поделиться на другие сайты More sharing options...
d.sad185 Опубликовано 24 мая, 2016 Автор Share Опубликовано 24 мая, 2016 Quarantine.zip отправили вложением по электронке на указанный адрес. Ёщё какое-нибудь "лечение" будет? Файлы до сих пор зашифрованы. Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 25 мая, 2016 Share Опубликовано 25 мая, 2016 Новые логи где? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Алексей Минусинский Опубликовано 25 мая, 2016 Share Опубликовано 25 мая, 2016 Ёщё какое-нибудь "лечение" будет? Файлы до сих пор зашифрованы. Вам подсказали как убить вирус. Но файлы восстановить практически уже будет невозможно. Строгое предупреждение от модератора kmscom В данном разделе отвечать могут автор и пользователи группы Консультанты 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
d.sad185 Опубликовано 25 мая, 2016 Автор Share Опубликовано 25 мая, 2016 Здравствуйте. Новые логи во вложении. Мы можем надеятся что все файлы дешифруются? CollectionLog-2016.05.25-18.14.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 25 мая, 2016 Share Опубликовано 25 мая, 2016 Ну кое-что в техподдержке имеется. Поэтому можете уже сейчас составлять запрос. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на комментарий Поделиться на другие сайты More sharing options...
d.sad185 Опубликовано 25 мая, 2016 Автор Share Опубликовано 25 мая, 2016 Спасибо. А в какой теме составлять запрос: в этой или открывать новую? Мы кстати ещё не удалили из почты то письмо с вирусным вложением. Вам это вложение не нужно для исследования? Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 25 мая, 2016 Share Опубликовано 25 мая, 2016 С этим чуть позже. Ссылка на комментарий Поделиться на другие сайты More sharing options...
d.sad185 Опубликовано 26 мая, 2016 Автор Share Опубликовано 26 мая, 2016 Здравствуйте. Отчёты FRST.txt и Addition.txt во вложении FRST.txt Addition.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 26 мая, 2016 Share Опубликовано 26 мая, 2016 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: NETSVC: Jeomiot -> no filepath. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму Ссылка на комментарий Поделиться на другие сайты More sharing options...
d.sad185 Опубликовано 26 мая, 2016 Автор Share Опубликовано 26 мая, 2016 Лог файл Fixlog.txt во вложении. Архив upload.zip не был создан. Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 26 мая, 2016 Share Опубликовано 26 мая, 2016 Вот теперь можно писать запрос http://forum.kasperskyclub.ru/index.php?showtopic=48525 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти