Шифровальщик из флешки

29 сентября, 2016

Здравствуйте! Очень будем рады помощи!
После отправки почты с прикреплением файла с флешки, файлы на компьютере были закодированы (28.09.2016, приблизительно в 11.00, отправка почты в 10.46) с изменением формата на breaking_bad и heisenberg. На рабочем столе появилось сообщение о кодировке и файлы read me c инструкцией по якобы разблокировке.

KL_syscure.zip

29 сентября, 2016

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

29 сентября, 2016

В дополнение

CollectionLog-2016.09.29-11.48.zip

29 сентября, 2016

Сидят на антивирусе к которому уже базы не выпускают, а потом еще удивляются почему их зашифровали.

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

29 сентября, 2016

Вот как-то так

Addition.txt

FRST.txt

29 сентября, 2016

Kaspersky Internet Security 2013 (HKLM\...\InstallWIX_{560985FB-4B76-4121-9189-7A2CDC7886D6}) (Version: 13.0.1.4190 - Лаборатория Касперского)

Антивирус думаете обновлять? Или думаете, что и так сойдет?

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
CHR Extension: (Smiles+ v13.7.24) - C:\Users\User\AppData\Roaming\smwdgt [2013-07-24]
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\Public\Desktop\README9.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\Public\Desktop\README8.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\Public\Desktop\README7.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\Public\Desktop\README6.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\Public\Desktop\README5.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\Public\Desktop\README4.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\Public\Desktop\README3.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\Public\Desktop\README2.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\Public\Desktop\README10.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\Public\Desktop\README1.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 06220854 _____ C:\Users\User\AppData\Roaming\DB61CCFEDB61CCFE.bmp
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\User\Desktop\README9.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\User\Desktop\README8.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\User\Desktop\README7.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\User\Desktop\README6.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\User\Desktop\README5.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\User\Desktop\README4.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\User\Desktop\README3.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\User\Desktop\README2.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\User\Desktop\README10.txt
2016-09-27 17:49 - 2016-09-28 11:59 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-09-27 17:49 - 2016-09-28 11:59 - 00000000 __SHD C:\ProgramData\Windows
2013-04-04 12:31 - 2013-04-04 12:31 - 0000288 _____ () C:\Users\User\AppData\Roaming\mySign.dat
2013-07-24 11:45 - 2013-07-24 11:45 - 0000006 _____ () C:\Users\User\AppData\Roaming\smw_inst

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

29 сентября, 2016

Антивирус думаете обновлять? Или думаете, что и так сойдет?

Думаем, просто в загашниках нашлись неиспользованные ключи от КИС 13, жалко выкидывать... И пишет-то ведь антивирус, что он весь такой зеленый и обновленный... Будем знать!

Прочитали тут у коллег по несчастью

Шифровальщик шифрует только все доступные ему файлы. По сети он не может установиться на другие компьютеры и начать шифровать там файлы, однако он может шифровать общие ресурсы, которые доступны компьютеру, на котором запустили шифровальщика.

На всякий случай лог с сервера

Fixlog.txt

CollectionLog-2016.09.29-16.58.zip

Изменено 29 сентября, 2016 пользователем KKT

29 сентября, 2016

Думаем, просто в загашниках нашлись неиспользованные ключи от КИС 13, жалко выкидывать... И пишет-то ведь антивирус, что он весь такой зеленый и обновленный... Будем знать!

Вы можете бесплатно перейти на KIS 2016. Если конечно ключи у Вас не серые. Базы для 2013 уже не тестируются, а потому Вы как на пороховой бочке. Если завтра придет кривое обновление и что-то упадет у Вас, например сервер, то никто виноват не будет.

Логи на сервере в порядке.

29 сентября, 2016

Вы можете бесплатно перейти на KIS 2016.

Спасибо за информацию, попробуем, ключи белые

Логи на сервере в порядке.

Хоть что-то хорошего за день.

После предыдущей процедуры с экрана исчезло сообщение о кодировке, но файлы по прежнему остались закодированными

29 сентября, 2016

Пишите запрос http://forum.kasperskyclub.ru/index.php?showtopic=48525

30 сентября, 2016

Запрос был написан в тот же день после заражения - ждем ответа. Шансы-то есть у нас?

Чтобы перейти на KIS 2016 необходимо связываться с разработчиком или можно просто скачать дистрибутив с сайта и ввести ключи от 13?

30 сентября, 2016

Здесь лотерея. Может помогут, а может нет.

или можно просто скачать дистрибутив с сайта и ввести ключи от 13?

Именно так, но только старую версию удалите перед этим.

Изменено 30 сентября, 2016 пользователем mike 1

30 сентября, 2016

Спасибо за помощь! +100500 Вам в карму!

Шифровальщик из флешки

Рекомендуемые сообщения

KKT

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

KKT

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

KKT

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

KKT

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

KKT

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

KKT

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

KKT

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum