symrak009 Опубликовано 21 ноября, 2016 Опубликовано 21 ноября, 2016 (изменено) Пришло письмо с вирусом, пользователь прошел по ссылке. В итоге имеются очень много зашифрованных файлов. Проверил компьютер с лайвсд касперский removal tool, был обнаружены и удалены: HEUR:Trojan.Script.Agent.gen Trojan-Ransom.Win32.Shade.lcp Сделал логи "автоматическим сборщиком логов" сделал логи Farbar Recovery Scan Tool PS: на компьютере установлен Kaspersky Endpoint Security 10, c лиц коммерчески ключем на 60 ПК PSS: отправил Вредоносное письмо на mike1_ат_avp.su CollectionLog-2016.11.21-13.36.zip Addition.txt FRST.txt report1.log report2.log Изменено 21 ноября, 2016 пользователем symrak009
Sandor Опубликовано 21 ноября, 2016 Опубликовано 21 ноября, 2016 Здравствуйте! на компьютере установлен Kaspersky Endpoint Security 10На момент заражения эта настройка была включена? Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%" CreateRestorePoint: GroupPolicyScripts: Restriction <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION CHR HKU\S-1-5-21-1353386153-1077443216-686241373-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION 2016-11-10 13:48 - 2016-11-10 13:48 - 00004154 _____ C:\README9.txt 2016-11-10 13:48 - 2016-11-10 13:48 - 00004154 _____ C:\README8.txt 2016-11-10 13:48 - 2016-11-10 13:48 - 00004154 _____ C:\README7.txt 2016-11-10 13:48 - 2016-11-10 13:48 - 00004154 _____ C:\README6.txt 2016-11-10 13:48 - 2016-11-10 13:48 - 00004154 _____ C:\README5.txt 2016-11-10 13:48 - 2016-11-10 13:48 - 00004154 _____ C:\README4.txt 2016-11-10 13:48 - 2016-11-10 13:48 - 00004154 _____ C:\README3.txt 2016-11-10 13:48 - 2016-11-10 13:48 - 00004154 _____ C:\README2.txt 2016-11-10 13:48 - 2016-11-10 13:48 - 00004154 _____ C:\README10.txt 2016-11-10 13:48 - 2016-11-10 13:48 - 00004154 _____ C:\README1.txt 2016-11-10 13:47 - 2016-11-10 14:23 - 00000000 __SHD C:\Users\Все пользователи\Windows 2016-11-10 13:47 - 2016-11-10 14:23 - 00000000 __SHD C:\ProgramData\Windows 2014-12-10 11:15 - 2015-10-05 11:16 - 0026820 _____ () C:\Users\Паршутин\AppData\Roaming\iexplorer.exe.tmp Task: {626625AB-2BD8-4CFC-A341-686EA77C4BF2} - \chrome_daily -> No File <==== ATTENTION Task: {9BEFD9EF-EC9F-478B-B88C-389A26382ABF} - \chrome_logon -> No File <==== ATTENTION Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.
symrak009 Опубликовано 21 ноября, 2016 Автор Опубликовано 21 ноября, 2016 произвел действия с fixlist Fixlog.txt
Sandor Опубликовано 21 ноября, 2016 Опубликовано 21 ноября, 2016 На момент заражения эта настройка была включена?Не ответили. Создайте запрос на расшифровку.
symrak009 Опубликовано 25 ноября, 2016 Автор Опубликовано 25 ноября, 2016 ответ службы поддержки: "Присланные файлы были зашифрованы модификацией Trojan-Ransom.Win32.Shade.В настоящее время, к сожалению, нет возможности расшифровать файлы. При шифровании данных, злоумышленники использовали обновленные алгоритмы шифрования, которые на текущий момент не поддаются расшифровке без уникального ключа, который хранится на серверах злоумышленников. "Алексей, если расшифровка станет возможна, мы предоставим Вам утилиту в новом запросе. По возможности сохраните образцы зашифрованных файлов. "Мы сохраняем информацию о запросах, в которых не удалось расшифровать данные (номер инцидента, образцы зашифрованных файлов, дополнительные данные). Если расшифровка станет возможна, мы переоткроем обращение и пришлём Вам утилиту-декриптор."
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти