raa вирусом-шифровальщик RAA

30 августа, 2016

Здравствуйте!

Получил письмо с адреса- Григорий Матвеев <klinsmann18@mail.ru>

Вопросы просят отправлять туда- raaconsult@mail2tor.com

вот начало письма

Ваши файлы были зашифрованы вирусом RAA.

При шифровании был применен алгоритм AES-256, используемый для защиты информации, представляющей государственную тайну.

Это значит, что восстановить данные можно только купив ключ у нас....

Словил вируса, после действия которого все офисные файлы и фото получили расширение LOCKED.

Kaspersky RakhniDecryptor пока работает 14 часов.(уже не работает)

Само письмо с вирусякой сохранил.

На рабочем столе сформирован ключ и письмо от доброжелателя с его пожеланиями.

На письмо пока он не ответил.

CollectionLog-2016.08.30-03.38.zip

Изменено 30 августа, 2016 пользователем МаксимкО

30 августа, 2016

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\5905~1\appdata\local\temp\{f1217f77-3288-4d12-8c02-45ea02808294}\{9179eee6-6c87-4d06-89c6-bf5236b0520c}.exe');
 QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\users\5905~1\appdata\local\temp\{f1217f77-3288-4d12-8c02-45ea02808294}\{9179eee6-6c87-4d06-89c6-bf5236b0520c}.exe', '');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
 DeleteFile('c:\users\5905~1\appdata\local\temp\{f1217f77-3288-4d12-8c02-45ea02808294}\{9179eee6-6c87-4d06-89c6-bf5236b0520c}.exe', '32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFileMask('c:\programdata\krb updater utility', '*', true);
 DeleteFileMask('c:\program files (x86)\kinoroom browser', '*', true);
 DeleteDirectory('c:\programdata\krb updater utility');
 DeleteDirectory('c:\program files (x86)\kinoroom browser');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Из папки C:\Users\Тима Биба Зюз\Downloads\AutoLogger\CheckBrowsersLNK запустите утилиту CheckBrowsersLNK.exe, соберите лог и прикрепите к следующему сообщению.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

30 августа, 2016

Спасибо!

если я все правильно сделал (в чем я сомневаюсь)

получил ответ- quarantine.zip

No malicious code was found in this file.

KLAN-4928115346

30 августа, 2016

Продолжайте.

30 августа, 2016

сделал

Check_Browsers_LNK.log

30 августа, 2016

И повторный CollectionLog, пожалуйста.

30 августа, 2016

прошу прощения за неграмотность!

все медленно делаю, так как мало соображаю в этом

я проделал все процедуры заново

выслал снова файл на анализ

и у меня стоит АВАСт который и пропустил все это

зато сейчас он орет что есть файл и я его нашел в папке

krbupdater.exe
An unknown file has been received. It will be sent to the Virus Lab.

KLAN-4928254321

лог заново собирается

вот новый

Check_Browsers_LNK.log

30 августа, 2016

вот новый

Нет, нужен

повторный CollectionLog

Также, как в первом Вашем сообщении.

30 августа, 2016

вот лог последний

CollectionLog-2016.08.30-15.46.zip

30 августа, 2016

Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

30 августа, 2016

вот

AdwCleanerS0.txt

30 августа, 2016

1.

Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно Сбросить:
- Политики IE
- Политики Chrome
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

30 августа, 2016

готово

AdwCleanerS1.txt

30 августа, 2016

сделал

AVAST проснулся и стал ругаться на эту директорию

Addition.txt

FRST.txt

Shortcut.txt

30 августа, 2016

готово

После очистки должен получиться файл с индексом [Cx] в имени. Если есть, прикрепите.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR Extension: (News Tab) - C:\Users\Тима Биба Зюз\AppData\Local\Google\Chrome\User Data\Default\Extensions\jolakggdcbngpflcjfaencffnenhlddl [2016-08-18]
C:\Users\Тима Биба Зюз\AppData\Local\Temp\coi1631.exe
C:\Users\Тима Биба Зюз\AppData\Local\Temp\gbUeFaxaPWH6.exe
C:\Users\Тима Биба Зюз\AppData\Local\Temp\I5Uy8WyDlQ8Q.exe
C:\Users\Тима Биба Зюз\AppData\Local\Temp\JSIb1C02wLal.exe
C:\Users\Тима Биба Зюз\AppData\Local\Temp\L2YLZmcGj4Ea.exe
C:\Users\Тима Биба Зюз\AppData\Local\Temp\mnfRnaUHPTe8.exe
C:\Users\Тима Биба Зюз\AppData\Local\Temp\NhkxM8UWJ8dN.exe
C:\Users\Тима Биба Зюз\AppData\Local\Temp\OnP3N4hPwJnA.exe
C:\Users\Тима Биба Зюз\AppData\Local\Temp\TIfR5FXRg4Du.exe
C:\Users\Тима Биба Зюз\AppData\Local\Temp\WJo5jPCSlPeB.exe
C:\Users\Тима Биба Зюз\AppData\Local\Temp\XVFzLyilM4Sk.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

raa вирусом-шифровальщик RAA

Рекомендуемые сообщения

МаксимкО

Sandor

МаксимкО

Sandor

МаксимкО

Sandor

МаксимкО

Sandor

МаксимкО

Sandor

МаксимкО

Sandor

МаксимкО

МаксимкО

Sandor

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum