Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Добрый день. Сегодня на одном из компьютеров сотрудница открыла "вложение" в письме, что привело к заражению и шифрованию всех документов на компьютере.

На самом деле "вложение" оказалось ссылкой "kustomcruizers.com/mail.scr"

Прикрепляю отчеты AutoLogger и Farbar Recovery Scan Tool. Также прикрепляю архив с вирусом.

Очень надеюсь на помощь.

Addition.txt

CollectionLog-2016.08.31-15.00.zip

FRST.txt

Изменено пользователем Sandor
Не прикрепляйте то, что не просили!
Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

Восстановление системы включите.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\...\Run: [sopropool] => C:\Program Files\codec.exe
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-45595996-1819605753-1762875914-2289\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/search
HKU\S-1-5-21-45595996-1819605753-1762875914-2289\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/search
HKU\S-1-5-21-45595996-1819605753-1762875914-2289\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://webalta.ru/search
SearchScopes: HKU\S-1-5-21-45595996-1819605753-1762875914-2289 -> {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE
Toolbar: HKU\S-1-5-21-45595996-1819605753-1762875914-2289 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
2016-08-31 10:22 - 2016-08-31 11:11 - 00927422 _____ C:\Program Files\desk.bmp
2016-08-31 09:33 - 2016-08-31 10:22 - 00000080 _____ C:\Program Files\KTPYJGHFSZ.MEZ
2016-08-31 10:22 - 2016-08-31 11:11 - 0055767 _____ () C:\Program Files\desk.jpg
AlternateDataStreams: C:\Documents and Settings\e.pankratova\Local Settings\Application Data:wa [146]
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Уточните у администратора KES на момент заражения была ли включена защита от шифровальщика?

Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

Восстановление системы включите.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\...\Run: [sopropool] => C:\Program Files\codec.exe
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-45595996-1819605753-1762875914-2289\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/search
HKU\S-1-5-21-45595996-1819605753-1762875914-2289\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/search
HKU\S-1-5-21-45595996-1819605753-1762875914-2289\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://webalta.ru/search
SearchScopes: HKU\S-1-5-21-45595996-1819605753-1762875914-2289 -> {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE
Toolbar: HKU\S-1-5-21-45595996-1819605753-1762875914-2289 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
2016-08-31 10:22 - 2016-08-31 11:11 - 00927422 _____ C:\Program Files\desk.bmp
2016-08-31 09:33 - 2016-08-31 10:22 - 00000080 _____ C:\Program Files\KTPYJGHFSZ.MEZ
2016-08-31 10:22 - 2016-08-31 11:11 - 0055767 _____ () C:\Program Files\desk.jpg
AlternateDataStreams: C:\Documents and Settings\e.pankratova\Local Settings\Application Data:wa [146]
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Уточните у администратора KES на момент заражения была ли включена защита от шифровальщика?

 

На момент заражения, защита от шифровальщика, скорее всего, была выключена, т.к. слетела лицензия KES.

Fixlog.txt

Опубликовано

У меня такая же проблема,вы можете мне помочь тоже?

Опубликовано

@Бусинка, внимательно прочтите Порядок оформления запроса о помощи и создайте свою тему.

 

защита от шифровальщика, скорее всего, была выключена

Печально.

 

При наличии лицензии создайте запрос на расшифровку.

Опубликовано

Я там ничего не поняла,но это и не актуально,вы же помогаете только тем.у кого есть лицензия,я правильно поняла?

Опубликовано

 

я правильно поняла?

Нет, всем.

 

Вот у вас в запросе на расшифровку написано:"Уважаемые пользователи! Напоминаем Вам, что с 9 ноября 2015 года запросы на расшифровку файлов после действий троянцев-шифровальщиков создаются исключительно через личный кабинет, или через аккаунт Kaspersky Company. Помните, что для создания запроса на расшифровку файлов в личном кабинете нужно прикрепить действующий коммерческий код активации на любой из продуктов Лаборатории Касперского. Ниже приведена последовательность действий того, как правильно создать запрос на расшифровку файлов:"

Опубликовано (изменено)

Вы не то читаете, прочтите еще раз Порядок оформления запроса о помощи (особенно п.3). А то, что Вы пишете в чужой теме - нарушение правил.

Изменено пользователем Sandor
Опубликовано

Т.е. мне дальше искать решение проблемы в корпоративном разделе?

Зарегистрировался, ключ выслал. Но ответное письмо что-то не торопится.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • S-e-r-s-h
      Автор S-e-r-s-h
      Добрый день. Хватанули троян, который зашифровал все документы таким образом: email-load180@aol.com.ver-CL 1.0.0.0.id-SBJKZCVMEGNQHJLOSVXZEGIMPSVXCEGJNQTU-02.09.2015 8@18@454361717.randomname-CNOCKUQNTOEVIVKQBSIWJZUKAQVPET.MGZ.cbf
      После заражения воспользовались восстановлением системы на предыдущий дату и проверили Kaspersky Virus Removal Tool 2015, а после, продленным Small Office Security. Вроде ничего не нашел.  Очень нужна ваша помощь. Как убедиться, что источника заразы больше нет и как расшифровать документы? CollectionLog-2015.09.07-11.35.zip
    • sidor
      Автор sidor
      Здравствуйте!
      Все как обычно, пришло письмо, якобы от налоговой, дальше открытие архива, без сохранения и проверки антивирусом.
      Результат-все файлы  MSO зашифрованы - названия начинаются с seven_legion@aol.com
      Что сделал:
      1. Прошелся по диску kav_rescue_10.
       по классификации каспера выявлено Win32.VBKryjetor.wes  в program files и в корневике системы.
      2. Удалил из автозагрузки окошко с предупреждением.
      3. Собрал логи.

         CollectionLog-2015.09.04-14.27
      Посмотрите, пожалуйста, может где еще дыры или зверье сидит?
       
      По поводу расшифровки: пробовал rectordecryptor и xoristdecryptor, не помогло.
      Может у кого есть дешифратор для моего случая? Плзз. А то девчонкам этим несчастным неделю на складе ревизию проводить....
       
      CollectionLog-2015.09.04-14.27.zip
    • Елена К
      Автор Елена К
      Получила письмо на почту, открыла прикрепленный файл, через пару часов на рабочем столе надпись "Твои файлы зашифрованы, отправь файл на почту Seven_legion2@aol.com ...."  Все файлы текстовые, все фото зашифрованы. Можно расшифровать фото?

      Прочитала предыдущее сообщение, сделала как там было написано, прикрепляю файлы. Очень надеюсь на помощь.
      CollectionLog-2015.09.05-22.02.zip
      Addition_05-09-2015_22-36-03.txt
      FRST_05-09-2015_22-36-03.txt
    • Klu4nik
      Автор Klu4nik
      Здравствуйте!
       
      Пользователь запустил файл из прикрепленного к письму с мэйл.ру архива wordpad.rar. Kaspersky WS не среагировал. Прошло шифрование, фото документы (много, важное), обои сменились на требование. После перезагрузки, KWS-ом автоматически был обнаружен троян: "Удалено троянская программа Trojan.Win32.Inject.vgcj C:\Program Files\explore.exe 27.08.2015 12:35:13".
       
      Спасибо за ваше время и желание помочь!
        CollectionLog-2015.08.27-13.23.zip
    • Арсен Омаров
      Автор Арсен Омаров
      Всем привет! Прошу Вашей помощи! Сегодня к моей сестре на почту пришло письмо по работе! Она открыла и запустила файл который..в общем во вложении прикрепляю фото рабочего стола на котором сообщение:
       Твои файлы зашифрованы, если хочешь все вернуть, отправь 1 зашифрованный файл на эту почту
      и т.д.
       
      так же высылаю логи..


      CollectionLog-2015.08.24-14.29.zip
×
×
  • Создать...