Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

вирус зашифровал файлы DOC

ERMAK_XOY
 Поделиться

Рекомендуемые сообщения

ERMAK_XOY

ERMAK_XOY

Опубликовано
Опубликовано

Здравствуйте , Пришло письмо на почту с зараженным вложением. Пользователь открыл вложение. Система выдала ошибку что файл не читается. Файл был закрыт. После было обнаружено что все файлы офиса .doc переименованы. Пример: rqiP0DR4zCLyGbx1tKXmvnou2tW8CZ8=.decyf@scryptmail.com (все файлы заканчиваются на decyf@scryptmail.com ) , заранее спасибо. 

KL_syscure.zip

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files (x86)\ShopperPro\ShopperPro.exe','');
 QuarantineFile('C:\Program Files (x86)\ShopperPro\updater.exe','');
 QuarantineFile('C:\ProgramData\ShopperPro\spbihe.js','');
 QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','');
 QuarantineFile('C:\Program Files (x86)\SensePlus\e0fe243a-809f-46f0-ad82-76ed820a1d8e-7.exe','');
 QuarantineFile('C:\Program Files (x86)\SensePlus\e0fe243a-809f-46f0-ad82-76ed820a1d8e-6.exe','');
 QuarantineFile('C:\Program Files (x86)\SensePlus\e0fe243a-809f-46f0-ad82-76ed820a1d8e-5.exe','');
 QuarantineFile('C:\Program Files (x86)\SensePlus\e0fe243a-809f-46f0-ad82-76ed820a1d8e-11.exe','');
 QuarantineFile('C:\Program Files (x86)\SensePlus\e0fe243a-809f-46f0-ad82-76ed820a1d8e-1-7.exe','');
 QuarantineFile('C:\Program Files (x86)\SensePlus\e0fe243a-809f-46f0-ad82-76ed820a1d8e-1-6.exe','');
 QuarantineFile('C:\Program Files (x86)\YouTube Accelerator\YouTubeAccelerator.exe','');
 DeleteService('SPDRIVER_1.42.1.2391');
 DeleteFile('C:\Program Files (x86)\ShopperPro\JSDriver\1.42.1.2391\jsdrv.sys','32');
 DeleteFile('C:\Program Files (x86)\YouTube Accelerator\YouTubeAccelerator.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoobzoYouTubeAccelerator','command');
 DeleteFile('C:\Program Files (x86)\SensePlus\e0fe243a-809f-46f0-ad82-76ed820a1d8e-1-6.exe','32');
 DeleteFile('C:\Program Files (x86)\SensePlus\e0fe243a-809f-46f0-ad82-76ed820a1d8e-1-7.exe','32');
 DeleteFile('C:\Program Files (x86)\SensePlus\e0fe243a-809f-46f0-ad82-76ed820a1d8e-11.exe','32');
 DeleteFile('C:\Program Files (x86)\SensePlus\e0fe243a-809f-46f0-ad82-76ed820a1d8e-5.exe','32');
 DeleteFile('C:\Program Files (x86)\SensePlus\e0fe243a-809f-46f0-ad82-76ed820a1d8e-6.exe','32');
 DeleteFile('C:\Program Files (x86)\SensePlus\e0fe243a-809f-46f0-ad82-76ed820a1d8e-7.exe','32');
 DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
 DeleteFile('C:\Windows\Tasks\e0fe243a-809f-46f0-ad82-76ed820a1d8e-7.job','32');
 DeleteFile('C:\Windows\Tasks\e0fe243a-809f-46f0-ad82-76ed820a1d8e-6.job','32');
 DeleteFile('C:\Windows\Tasks\e0fe243a-809f-46f0-ad82-76ed820a1d8e-5_user.job','32');
 DeleteFile('C:\Windows\Tasks\e0fe243a-809f-46f0-ad82-76ed820a1d8e-5.job','32');
 DeleteFile('C:\Windows\Tasks\e0fe243a-809f-46f0-ad82-76ed820a1d8e-11.job','32');
 DeleteFile('C:\Windows\Tasks\e0fe243a-809f-46f0-ad82-76ed820a1d8e-1-7.job','32');
 DeleteFile('C:\Windows\Tasks\e0fe243a-809f-46f0-ad82-76ed820a1d8e-1-6.job','32');
 DeleteFile('C:\Windows\system32\Tasks\ShopperPro','64');
 DeleteFile('C:\Windows\system32\Tasks\ShopperProJSUpd','64');
 DeleteFile('C:\Windows\system32\Tasks\SPBIW_UpdateTask_Time_313732363133353738302d7837235a576c4a3241345041','64');
 DeleteFile('C:\ProgramData\ShopperPro\spbihe.js','32');
 DeleteFile('C:\Program Files (x86)\ShopperPro\updater.exe','32');
 DeleteFile('C:\Program Files (x86)\ShopperPro\ShopperPro.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

ERMAK_XOY

ERMAK_XOY

Опубликовано
  • Автор
Опубликовано

отправил файл еще вчера на  newvirus@kaspersky.com     ответа нет (( долго ждать или может я не правильно отправил?

thyrex

thyrex

Опубликовано
Опубликовано

Новые логи давно пора было сделать

ERMAK_XOY

ERMAK_XOY

Опубликовано
  • Автор
Опубликовано (изменено)

сделал -полное сканирование MBAM

otchetscan.txt

Изменено пользователем ERMAK_XOY
thyrex

thyrex

Опубликовано
Опубликовано

Удалите в МВАМ все, кроме

RiskWare.Tool.CK, C:\Windows\KMService.exe, 2972, , [5d965b9d841563d34a83b544f908aa56]

RiskWare.Tool.CK, C:\Windows\KMService.exe, , [5d965b9d841563d34a83b544f908aa56], 
RiskWare.CRK, C:\2010\disk 1\Crack\mini-KMS_Activator_v1.3_Office2010_VL_ENG.exe, , [31c27f797f1a0d292d536db9c53cd62a], 
RiskWare.CRK, C:\2010\disk 1\Crack\mini-KMS_Activator_v1.3_Office2010_VL_RUS.exe, , [ae450aee841583b381ffff27ed141be5], 
RiskWare.CRK, C:\2010\disk 2\Crack\mini-KMS_Activator_v1.3_Office2010_VL_ENG.exe, , [ad469761dcbd06308cf4d452cb36b947], 
RiskWare.CRK, C:\2010\disk 2\Crack\mini-KMS_Activator_v1.3_Office2010_VL_RUS.exe, , [b1424fa98415d660c4bc1e08a45df907], 
CrackTool.Agent.Keygen, C:\Windows\AutoKMS.exe, , [36bd19dfd4c5c0763fd968f2966b956b], 
 
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

Пришлите образцы поврежденных файлов + файл с сообщением от вымогателей

 

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File
Toolbar: HKU\S-1-5-21-3253208119-3595268359-975036478-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} -  No File
AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [118]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:56E2E879 [118]
Task: {660C09A8-7735-46DF-AD88-6642DA4E84F9} - \Funmoods -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Анжелика Марчук
      Зашифровало файлы MS-DOS расширение
      Автор Анжелика Марчук
      Здравствуйте,такая проблема качал архив и после его открытия вирус заразил ноутбук,понял это не сразу через пару дней.
      Вирус зашифровал все личные файлы в расширение MS-DOS .com.
      Вот могу дополнить почту,мжет это поможет решить проблему decryptallfiles3@india.com, Все кто что то знает или слышал про этот вирус отзовитесь пожалуйста,может кому то удалось решить проблему,за ранее буду благодарен.
      0yhWP6pqJIhli7tyyvf3.decryptallfiles3@india.rar
    • Егор45
      Шифровальщик RROD
      Автор Егор45
      Здравствуйте. Сегодня ночью подломили сервак, Windows server 2003 R2 x64. Стоял Kaspesky Small Office 3, утром когда зашёл на сервер Каспер был убит напрочь, хотя был под паролем и писал бэкапы на соседний винт (понимаю не комильфо, но другого варианта нет). Всё файлы типа: *.mxl.RROD, *.docx.RROD. В текстовике следующее сообщение:
       
                             Место для Вашей рекламы --------------------------------------------------------------------------------     Вся Ваша информация (документы, базы данных, бэкапы)     на этом компьютере была зашифрована.     Для расшифровки обратитесь по нижеуказанным контактам.     Ни в коем случае не изменяйте файлы!     И не используйте чужие дешифраторы, Вы можете потерять Ваши файлы навсегда.     Каждый дешифратор - уникален, чужой - просто испортит Ваши файлы.     Благодоря нам - вы можете усилить свою безопасность     и предотвратить подобные ситуации! -------------------------------------------------------------------------------- e-mail: rr0d@riseup.net ----------------------------------- Ваш код для разблокировки: 7566513  --------------------------------------------------------------- Внимание! В первом письме не прикрепляйте файлы для дешифровки. Все инструкции вы получите в ответном письме. ---------------------------------------------------------------    В предыдущей теме читал (https://forum.kasperskyclub.ru/index.php?showtopic=51068), что скинули дешифратор, можно ли попросить у вас его, вдруг мой???
    • iWILLiWILL
      Шифровальщик CryptoLocker
      Автор iWILLiWILL
      Скорее всего это ссылка.
       
      может быть это.
       
      Не уверен, тк вирус запустился только после следующего включения.
       
      jpg файлы не прикрепились, "пожалуйста сообщите об этом администрации форума"
      KL_syscure.zip
      Учитель-веры-Урок-2-ред.docx
    • rsamig
      Вирус зашифровал все документы .acrypt
      Автор rsamig
      KVRT и cureIt ничего не обнаружили. 
      CollectionLog-2016.12.12-10.32.zip
    • krivanov
      Шифратор vnature@india.com
      Автор krivanov
      Доброго времени суток.
      Споймали вот такой шифровщик.
       
       
      Во вложении пример, логи, и зашифрованый файл (1 из пары.) второй добавлю в след. посте, превышен размер в 5 мб. 
       
       
      http://dropmefiles.com/1sU8y (залил второй файл из пары сюда)
      CollectionLog-2016.12.08-13.45.zip
      example.rar
      s08oZQhxJjGWKDUHJNn3TaXG.vnature@india.rar
×
×
  • Создать...