Перейти к содержанию

Вложение из письма зашифровало все файлы на компьютере: email-cryptolocker@aol.com_mod.ver-CL 1.0.0.0 ..... cbf


Рекомендуемые сообщения

На почту пришло письмо от "департамента досудебных разбирательств" они якобы уведомляют нас об начале какого-то уголовного дела. И для получения подробностей внизу письма стоит ссылка. которая скачивает утилиту.

Заражение произошло после скачивания и последующего запуска утилиты "archive.com Тип файла : Приложение MS-DOS." Все файлы были зашифрованы и изменено название   email-cryptolocker@aol.com_mod.ver-CL 1.0.0.0.u.id-FMPRUVVVWWWXWYWXBCCDDDCCBCBBBBABAZYY-11.07.2016 8@33@591238518@@@@@8A12-EDB4.randomname-BUAAFFEDDBAZZZABAZAAKKIIIHGHGE.JRY.cbf 

Просканировал компьютер  Dr.Web CureIt!. поместил на карантин 5 вирусов

Прикрепляю архив с логом AutoLogger. При сборе логов интернет был отключен. Надеюсь на помощь.

Так же сохранились письмо с сылкой и утилита которая с нее скачивается при необходимости могу передать.

CollectionLog-2016.07.12-15.30.zip

Изменено пользователем SeregaDSO
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Admin\AppData\Local\Temp\27217837aq', '');
 QuarantineFile('C:\Windows\system32\dWOKlBThBgzEXc.exe','');
 ExecuteFile('schtasks.exe', '/delete /TN "At1" /F', 0, 15000, true);
 DeleteFile('C:\Users\Admin\AppData\Local\Temp\27217837aq', '32');
 DeleteFile('C:\Windows\system32\dWOKlBThBgzEXc.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VoIIyfMIiQFSxitCiFcb_icTKP');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(4);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты

Прикрепляю логи

Лаборатория ответила следующим образом:

 

[KLAN-4671789168]

 

Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

No email attachments were found in the message that you have sent. If you attached files to your message, they may have been removed by the antivirus program before delivery. In this case please send the sample files again by adding them to an archive with the password infected.

Best Regards, Kaspersky Lab

 

2 раза так, второй раз заархивировал с паролем infected как указано в письме. могу переправить вам архив карантин.

ClearLNK-12.07.2016_17-41.log

CollectionLog-2016.07.12-17.58.zip

Ссылка на комментарий
Поделиться на другие сайты

Пока не нужно.

  • Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

1.

  • Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Настройки и отметьте дополнительно:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Web ProtectionAddon version 4.59

Интернет

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-3066595210-2618262784-941206034-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
FF Extension: NetSecurity v14.4.28 - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\xwezu80i.default\extensions\likenetwork@it-taks.com [2014-05-05] [not signed]
FF Extension: No Name - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\xwezu80i.default\extensions\vb@yandex.ru.xpi [not found]
FF Extension: No Name - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\xwezu80i.default\extensions\yasearch@yandex.ru [not found]
CHR HomePage: Default -> file:///C:/Users/Admin/AppData/Local/Microsoft/Windows/Temporary%20Internet%20Files/Content.IE5/JI1OM96J
CHR DefaultSuggestURL: Default -> hxxp://suggest.yandex.net/suggest-ff.cgi?part={searchTerms}
2016-07-11 13:35 - 2016-07-11 13:35 - 0000094 ____C () C:\Program Files\GCSGMTSVMJ.STJ
2016-07-11 13:35 - 2016-07-11 13:35 - 0000095 ____C () C:\Program Files\KJQKDKFCVC.SEY
2016-07-11 13:29 - 2016-07-11 13:29 - 0381365 ____C () C:\Program Files\Virus.zip
C:\Users\Admin\AppData\Local\Temp\MailRuUpdater.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Антивирус Касперского 6.0 для Windows Workstations (Version: 6.0.4.1424 - Лаборатория Касперского) - версия устарела и не поддерживается. Обновите до KES10.

Ссылка на комментарий
Поделиться на другие сайты

Web ProtectionAddon version 4.59  эта программа не хочет удаляться, выдается ошибка Rantime Error(at:1448): WinHttp.WinHttpRequest: не удается разрешить имя или адрес сервера.

так же в день заражения вирусом была установлена программа: mail attachment 1.2.4 издатель: adobe.inc Размер: 468КБ никто специально ее не устанавливал, может быть она имеет какое либо отношение к вирусу?

Ссылка на комментарий
Поделиться на другие сайты

С помощью предложенной программы в процессе удаления выскочила аналогичная ошибка, но удаление продолжилось предложило удалить запись в реестре, и после некоторые файлы. принял удаление в обоих случаях. программа исчезла из списка установленных программ.

А нас счет mail attachment ничего не можете сказать?

Прикрепляю также Fixlog

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Юрий Ч
    • Saul
      От Saul
      Добрый день!
      Вот такое поймали, зашифрованы все файлы на сетевой шаре.
      Есть способы для расшифровки?
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://tox.chat/clients.html
      https://github.com/uTox/uTox/releases/
      https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
      и добавьте нас
       
      2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
      1.zip
    • Мимохожий
      От Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3).
      Просим помощи в расшифровке
      Файл вируса в архиве имеется.
      Убиты все сервера компании.
       
      Mimo.rar
    • SS78RUS
      От SS78RUS
      Добрый вечер. 
      С нами случилась ситуация 1в1 с вышеописанной. NAS Zyxel 326 со всеми патчами, отключены все выходы во внешнюю сеть, работал только как локальное хранилище, всё равно атаковали через уязвимость самого NAS -создали облачного пользователя, которого даже удалить не могу.
      Подскажите, какой вариант с починкой файлов? Заранее спасибо.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Din
      От Din
      Есть приватный ключ, подскажите как и чем расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...