Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Поймали шифровальщик , помогите !

Igon85
 Поделиться

Рекомендуемые сообщения

Igon85 Новичок

Igon85

Опубликовано
Опубликовано (изменено)

Добрый день!

Поймали в письме шифровальщик файлов! Письмо от бухгалтера. Зашифровало все документы и картинки. Интернет и браузеры перестали работать, Антивируса считайте что не было, стояла пробная версия какая то.... Очень много информации на компьютере бухгалтера !

Помогите пожалуйста! Что делать ???? Заранее ОГРОМНОЕ СПАСИБО ВСЕМ!

Изменено пользователем Igon85
Ссылка на комментарий
Поделиться на другие сайты
Igon85 Новичок

Igon85

Опубликовано
  • Автор
Опубликовано (изменено)

Проделали все работы по вашей инструкции , прикладывает архив , как указанно в инструкции!

CollectionLog-2016.10.03-12.55.zip

Изменено пользователем Igon85
Ссылка на комментарий
Поделиться на другие сайты
Igon85 Новичок

Igon85

Опубликовано
  • Автор
Опубликовано (изменено)

Само письмо если сохранилось, то отправьте мне его на почту

Какая у вас почта ? И у нас блокируется доступ к интернету ! Почему то не грузит нормально страницы ! AVPTools прогнали удалили что нашел он!

Изменено пользователем Igon85
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Дополнительно:

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Igon85 Новичок

Igon85

Опубликовано
  • Автор
Опубликовано (изменено)

mike1@avp.su

Отправили с

. На эту почту ничего присылать не надо! Если что то высылать будите то 
Изменено пользователем mike 1
Почта пользователя скрыта
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

mike1@avp.su

Отправили с

. На эту почту ничего присылать не надо! Если что то высылать будите то 

 

Получил. Спасибо.

Ссылка на комментарий
Поделиться на другие сайты
Igon85 Новичок

Igon85

Опубликовано
  • Автор
Опубликовано

Дополнительно:

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Сделали ! Прикрепляем !

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
FF Extension: (No Name) - C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\xnrbvr25.default\Extensions\homepage@mail.ru [2016-10-03]
FF Extension: (No Name) - C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\xnrbvr25.default\Extensions\search@mail.ru [2016-10-03]
FF Extension: (No Name) - C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\xnrbvr25.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-10-03]
2016-10-03 09:28 - 2016-10-03 09:28 - 03932214 _____ C:\Documents and Settings\User\Application Data\36FD358236FD3582.bmp
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\User\Рабочий стол\README9.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\User\Рабочий стол\README8.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\User\Рабочий стол\README7.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\User\Рабочий стол\README6.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\User\Рабочий стол\README5.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\User\Рабочий стол\README4.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\User\Рабочий стол\README3.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\User\Рабочий стол\README2.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\User\Рабочий стол\README10.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\User\Рабочий стол\README1.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2016-10-03 09:20 - 2016-10-03 09:20 - 00004170 _____ C:\README9.txt
2016-10-03 09:20 - 2016-10-03 09:20 - 00004170 _____ C:\README8.txt
2016-10-03 09:20 - 2016-10-03 09:20 - 00004170 _____ C:\README7.txt
2016-10-03 09:20 - 2016-10-03 09:20 - 00004170 _____ C:\README6.txt
2016-10-03 09:20 - 2016-10-03 09:20 - 00004170 _____ C:\README5.txt
2016-10-03 09:20 - 2016-10-03 09:20 - 00004170 _____ C:\README4.txt
2016-10-03 09:20 - 2016-10-03 09:20 - 00004170 _____ C:\README3.txt
2016-10-03 09:20 - 2016-10-03 09:20 - 00004170 _____ C:\README2.txt
2016-10-03 09:20 - 2016-10-03 09:20 - 00004170 _____ C:\README10.txt
2016-10-03 09:20 - 2016-10-03 09:20 - 00004170 _____ C:\README1.txt
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Igon85 Новичок

Igon85

Опубликовано
  • Автор
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
FF Extension: (No Name) - C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\xnrbvr25.default\Extensions\homepage@mail.ru [2016-10-03]
FF Extension: (No Name) - C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\xnrbvr25.default\Extensions\search@mail.ru [2016-10-03]
FF Extension: (No Name) - C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\xnrbvr25.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-10-03]
2016-10-03 09:28 - 2016-10-03 09:28 - 03932214 _____ C:\Documents and Settings\User\Application Data\36FD358236FD3582.bmp
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\User\Рабочий стол\README9.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\User\Рабочий стол\README8.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\User\Рабочий стол\README7.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\User\Рабочий стол\README6.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\User\Рабочий стол\README5.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\User\Рабочий стол\README4.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\User\Рабочий стол\README3.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\User\Рабочий стол\README2.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\User\Рабочий стол\README10.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\User\Рабочий стол\README1.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2016-10-03 09:28 - 2016-10-03 09:28 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2016-10-03 09:20 - 2016-10-03 09:20 - 00004170 _____ C:\README9.txt
2016-10-03 09:20 - 2016-10-03 09:20 - 00004170 _____ C:\README8.txt
2016-10-03 09:20 - 2016-10-03 09:20 - 00004170 _____ C:\README7.txt
2016-10-03 09:20 - 2016-10-03 09:20 - 00004170 _____ C:\README6.txt
2016-10-03 09:20 - 2016-10-03 09:20 - 00004170 _____ C:\README5.txt
2016-10-03 09:20 - 2016-10-03 09:20 - 00004170 _____ C:\README4.txt
2016-10-03 09:20 - 2016-10-03 09:20 - 00004170 _____ C:\README3.txt
2016-10-03 09:20 - 2016-10-03 09:20 - 00004170 _____ C:\README2.txt
2016-10-03 09:20 - 2016-10-03 09:20 - 00004170 _____ C:\README10.txt
2016-10-03 09:20 - 2016-10-03 09:20 - 00004170 _____ C:\README1.txt
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Готово! Прикрепляем!

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Igon85 Новичок

Igon85

Опубликовано
  • Автор
Опубликовано

Следы адвари и вымогателя очищены. С расшифровкой помочь не сможем.

А что делать то нам теперь? Файлы как расшифровать??? Дешифратора нету в природе ? Или если обратится в доктор веб там помогут??? Я слышал когда у вас отказывали , там помогали!

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KOMK
      Шифровальщик zimmer1488
      Автор KOMK
      Доброго времени суток.
      Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
      А так же папка с файлами именованная как "automim1"?
      Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
      Остальное не знаю как добавить,вес больше 5мб получается.
       
      sekr_2.7z
    • АндрейП
      Шифровальщик READ-ME-Nullhexxx
      Автор АндрейП
      Здравствуйте. Зашифровали два стареньких сервера терминалов, источник не понятен- ещё разбираемся. Подскажите есть шанс на расшифровку? На одном сервере у одного пользователя нашел в папке Pictures остатки вредоносного ПО, на втором в новой созданной злоумышленником учетке system32 почти такие же файлы, пришлю по запросу.
       
      файлы.rar
    • АлександрК879
      Поймали шифровальщика Lockbit Black
      Автор АлександрК879
      Здравствуйте. Поймали эту мерзость.
      В файле virus.zip - сами зашифрованные файлы и требование
      В файле archiv.zip - те же файлы расшифрованные
      Логи остальное 
      Архив.zip virus.zip Addition.txt FRST.txt
    • slot9543
      Поймали шифровальщика на сервер
      Автор slot9543
      Поймали шифровальщика на несколько виртуальных серверов которые находятся на одном гипервизоре VMware.
      Собрал информацию для одного из серверов (есть еще второй зашифрованный, но он пока не запускается).

      В систему проникли основательно, удалили все вируталки с бекапами.
      Бэкапов нет, очень хочется расшифровать.

      В системе присутствует файл C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE
      Упаковал его в архив с паролем virus и готов скинуть ссылку на этот архив в облаке.


      Заранее спасибо!
      ЗашифрованныеФайлы.zip Addition.txt FRST.txt
    • ipostnov
      [РЕШЕНО] Поймал Trojan.Win32.SEPEH.gen
      Автор ipostnov
      Добрый день. Поймал Trojan.Win32.SEPEH.gen и никак не могу удалить.

       
      CollectionLog-2024.11.11-14.29.zip
×
×
  • Создать...