Перейти к содержанию

Шифровальщик из флешки

KKT
 Share

Рекомендуемые сообщения

KKT Новичок

KKT

Опубликовано
Опубликовано

Здравствуйте! Очень будем рады помощи!
После отправки почты с прикреплением файла с флешки, файлы на компьютере были закодированы (28.09.2016, приблизительно в 11.00, отправка почты в 10.46) с изменением формата на breaking_bad и heisenberg. На рабочем столе появилось сообщение о кодировке и файлы read me c инструкцией по якобы разблокировке.

KL_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Сидят на антивирусе к которому уже базы не выпускают, а потом еще удивляются почему их зашифровали. 

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Kaspersky Internet Security 2013 (HKLM\...\InstallWIX_{560985FB-4B76-4121-9189-7A2CDC7886D6}) (Version: 13.0.1.4190 - Лаборатория Касперского)

 

Антивирус думаете обновлять? Или думаете, что и так сойдет? 

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
CHR Extension: (Smiles+ v13.7.24) - C:\Users\User\AppData\Roaming\smwdgt [2013-07-24]
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\Public\Desktop\README9.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\Public\Desktop\README8.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\Public\Desktop\README7.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\Public\Desktop\README6.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\Public\Desktop\README5.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\Public\Desktop\README4.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\Public\Desktop\README3.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\Public\Desktop\README2.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\Public\Desktop\README10.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\Public\Desktop\README1.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 06220854 _____ C:\Users\User\AppData\Roaming\DB61CCFEDB61CCFE.bmp
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\User\Desktop\README9.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\User\Desktop\README8.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\User\Desktop\README7.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\User\Desktop\README6.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\User\Desktop\README5.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\User\Desktop\README4.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\User\Desktop\README3.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\User\Desktop\README2.txt
2016-09-28 09:35 - 2016-09-28 09:35 - 00000859 _____ C:\Users\User\Desktop\README10.txt
2016-09-27 17:49 - 2016-09-28 11:59 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-09-27 17:49 - 2016-09-28 11:59 - 00000000 __SHD C:\ProgramData\Windows
2013-04-04 12:31 - 2013-04-04 12:31 - 0000288 _____ () C:\Users\User\AppData\Roaming\mySign.dat
2013-07-24 11:45 - 2013-07-24 11:45 - 0000006 _____ () C:\Users\User\AppData\Roaming\smw_inst
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
 
 
Ссылка на комментарий
Поделиться на другие сайты
KKT Новичок

KKT

Опубликовано
  • Автор
Опубликовано (изменено)

Антивирус думаете обновлять? Или думаете, что и так сойдет? 

 

Думаем, просто в загашниках нашлись неиспользованные ключи от КИС 13, жалко выкидывать... И пишет-то ведь антивирус, что он весь такой зеленый и обновленный... Будем знать!

Прочитали тут у коллег по несчастью

 

Шифровальщик шифрует только все доступные ему файлы. По сети он не может установиться на другие компьютеры и начать шифровать там файлы, однако он может шифровать общие ресурсы, которые доступны компьютеру, на котором запустили шифровальщика. 

 

На всякий случай лог с сервера

 

Fixlog.txt

CollectionLog-2016.09.29-16.58.zip

Изменено пользователем KKT
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

Думаем, просто в загашниках нашлись неиспользованные ключи от КИС 13, жалко выкидывать... И пишет-то ведь антивирус, что он весь такой зеленый и обновленный... Будем знать!

Вы можете бесплатно перейти на KIS 2016. Если конечно ключи у Вас не серые. Базы для 2013 уже не тестируются, а потому Вы как на пороховой бочке. Если завтра придет кривое обновление и что-то упадет у Вас, например сервер, то никто виноват не будет. 

 

Логи на сервере в порядке. 

Ссылка на комментарий
Поделиться на другие сайты
KKT Новичок

KKT

Опубликовано
  • Автор
Опубликовано

 

 


Вы можете бесплатно перейти на KIS 2016.

Спасибо за информацию, попробуем, ключи белые

 

 


Логи на сервере в порядке. 

Хоть что-то хорошего за день.

После предыдущей процедуры с экрана исчезло сообщение о кодировке, но файлы по прежнему остались закодированными

Ссылка на комментарий
Поделиться на другие сайты
KKT Новичок

KKT

Опубликовано
  • Автор
Опубликовано

Запрос был написан в тот же день после заражения - ждем ответа. Шансы-то есть у нас?

Чтобы перейти на KIS 2016 необходимо связываться с разработчиком или можно просто скачать дистрибутив с сайта и ввести ключи от 13?

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано (изменено)

Здесь лотерея. Может помогут, а может нет.

 

 

 

или можно просто скачать дистрибутив с сайта и ввести ключи от 13?

Именно так, но только старую версию удалите перед этим. 

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем
×
×
  • Создать...