Перейти к содержанию

Рекомендуемые сообщения

Добрый день!

 

Много лет пользуемся вашими лицензионными продуктами сейчас установлен - Kaspersky Endpoint Securiry 10.2.5.3201

Сегодня через внутреннюю почту программы TAXCOM пришло зараженное письмо, в результате файлы переименовались в *NO_MORE_RANSOM.

 

создались 10 файлов README.TXT следующего содержания:

 

Вaши фaйлы былu зaшuфрoвaны.
Чmобы pаcшuфpовaть иx, Вам неoбхoдимо отnpaвиmь kод:
45D044C5D4308CAE03BD|0
нa элеkтpонный адpec vladimirscherbinin1991@gmail.com .
Дaлее вы nолyчumе все неoбxoдuмыe инcтpукциu.
Попытku pаcшифрoваmь сaмocmoяmельнo нe npиведуm нu к чeмy, кpoме безвoзврamной noтepu инфоpмaциu.
Eслu вы всё жe xomиmе noпытamься, mo nрeдваpuтельно сделaйте рeзервные кoпиu фaйлов, uначe в cлучae
иx измeненuя pacшифрoвkа стaнem нeвoзможной нu nрu кaкиx ycловuяx.
Еслu вы нe полyчили оmвета по вышeуkазaнномy адреcy в mечeниe 48 часов (и moлькo в этoм cлyчaе!),
воcпoльзyйтесь фoрмой oбрamнoй cвязu. Эmо можно сделaть двумя cпocобами:
1) Cкaчайmе и уcтaновите Tor Browser по cсылke: https://www.torproject.org/download/download-easy.html.en
B адpecной cтpoke Tor Browser-а ввeдuтe адpeс:
и нажмите Enter. Зarpузuтся сmраница с фоpмoй oбpаmнoй cвязu.
2) В любoм бpаyзeре nеpейдите no oднoму из адpеcов:
 
вчера все работало нормально, помогите пожалуйста.
 
Павлов Константин 

Addition.txt

FRST.txt

README1.txt

Ссылка на комментарий
Поделиться на другие сайты

 

 

Сегодня через внутреннюю почту программы TAXCOM пришло зараженное письмо

Вложение или ссылку из письма скиньте в ЛС. 

Ссылка на комментарий
Поделиться на другие сайты

 

 

 

Сегодня через внутреннюю почту программы TAXCOM пришло зараженное письмо

Вложение или ссылку из письма скиньте в ЛС. 

 

 Уже не можем запустить TAXCOM (переименованы файлы) 

пока делаются логи, нашел два файла в TEMP 

Изменено пользователем mike 1
Карантин в теме
Ссылка на комментарий
Поделиться на другие сайты

А с другого компьютера есть возможность посмотреть это письмо?

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

А с другого компьютера есть возможность посмотреть это письмо?

 

Нет он был установлен только на одном компьютере (зараженном), завтра будут устанавливать на другом.

Добавил логи

cureit.rar

CollectionLog-2016.11.28-22.54.zip

post-42479-0-13473000-1480363259_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
    CloseProcesses:
    2016-11-28 13:13 - 2016-11-28 13:13 - 00004186 _____ C:\README9.txt
    2016-11-28 13:13 - 2016-11-28 13:13 - 00004186 _____ C:\README8.txt
    2016-11-28 13:13 - 2016-11-28 13:13 - 00004186 _____ C:\README7.txt
    2016-11-28 13:13 - 2016-11-28 13:13 - 00004186 _____ C:\README6.txt
    2016-11-28 13:13 - 2016-11-28 13:13 - 00004186 _____ C:\README5.txt
    2016-11-28 13:13 - 2016-11-28 13:13 - 00004186 _____ C:\README4.txt
    2016-11-28 13:13 - 2016-11-28 13:13 - 00004186 _____ C:\README3.txt
    2016-11-28 13:13 - 2016-11-28 13:13 - 00004186 _____ C:\README2.txt
    2016-11-28 13:13 - 2016-11-28 13:13 - 00004186 _____ C:\README10.txt
    2013-06-24 11:30 - 2013-06-24 11:30 - 0000026 _____ () C:\Documents and Settings\Ira-new\Application Data\haasrree
    2013-06-24 11:30 - 2013-06-24 11:30 - 0000139 _____ () C:\Documents and Settings\Ira-new\Application Data\haasrrsf
    2013-06-21 12:46 - 2013-06-21 12:50 - 0000021 _____ () C:\Documents and Settings\Ira-new\Application Data\rqqqgods
    2013-06-21 12:46 - 2013-06-21 12:50 - 0005946 _____ () C:\Documents and Settings\Ira-new\Application Data\rqqqgohg
    2013-06-21 11:29 - 2013-06-24 11:33 - 0000038 _____ () C:\Documents and Settings\Ira-new\Application Data\ufqyhfaw
    2013-06-21 11:29 - 2013-06-24 11:33 - 0065578 _____ () C:\Documents and Settings\Ira-new\Application Data\ufqyhfqu
    Task: C:\WINDOWS\Tasks\DistromaticSearchProtect-hourly.job => C:\Program Files\Amazon Browser Settings\AmznSearchProtect.exe <==== ATTENTION
    Task: C:\WINDOWS\Tasks\DistromaticSearchProtect-logon.job => C:\Program Files\Amazon Browser Settings\AmznSearchProtect.exe <==== ATTENTION
    Task: C:\WINDOWS\Tasks\DistromaticUpdater-logon.job => C:\Program Files\Amazon Browser Settings\updater.exe <==== ATTENTION
    Task: C:\WINDOWS\Tasks\DistromaticUpdater-periodic.job => C:\Program Files\Amazon Browser Settings\updater.exe <==== ATTENTION
    
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Ссылка на комментарий
Поделиться на другие сайты

Fixlog.txt  прикрепил,   Дата_время.zip - не создан,  в карантин через данную форму прикрепил зараженные файлы возможно в них есть ключ.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525. Смените все пароли (почта, аська, ftp, скайп, пароли сохраненные в браузерах)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • igorX
      От igorX
      Ноут зашифровали.
      KRD прочистил, отчет в файле Kasper.
      Логи прилагаю.
      Помогите почистить до конца.
       
      PS: От WannaCry еще дешифровальщик не появился?
      CollectionLog-2017.07.03-17.49.zip
      kasper.txt
    • KоnsтантиH
      От KоnsтантиH
      Доброго дня, помогите пожалуйста расшифровать документы.
      Они у нас в единственном экземпляре.
      Пришло письмо якобы от сбербанка, а нам в ближайший месяц как раз менять зарплатные карты надо, открыли ссылку и вот тут началось самое интересное,
      комп затупил на 2 минуты, после чего все хорошо открывалось еще минут 15, потом все файлы стали вида: "НАБОРСИМВОЛОВ.no_more_ransom"
      Документы очень важны, что нам дальше делать чтобы не потерять их ? 
      CollectionLog-2017.06.21-11.40.zip
    • terentev7
      От terentev7
      Добрый день. В середине прошлой недели на компьютер проник вирус, который зашифровал все документы на компьютере. Файлы получили новые названия, оканчивающиеся на ".no_more_ransom". Можно ли как-то восстановить документы?
       
      Требования злоумышленников и логи в прикреплённых файлах. Пример зашифрованного фала не прикрепился.
      README10.txt
      CollectionLog-2017.05.02-09.31.zip
    • bnw
      От bnw
      Здравствуйте!
       
      Открыли письмо в почте от сбербанка, в итоге все файл зашифрованы с расширением *.no_more_ransom, на рабочем столе файл readme следующего содержания:
       
      Вирусы почистила с помощью Kasperky Rescue Disk 10.
      Как быть с зашифрованными файлами? 
      CollectionLog-2017.04.23-14.33.zip
    • alexsmag
      От alexsmag
      Здравствуйте. Поймали вирус,файлы зашифрованы с расширением *.no_more_ransom. Была произведена проверка Dr. Web CureIt,KRT, Malwarebytes. Спасибо!
      CollectionLog-2017.04.12-16.34.zip
×
×
  • Создать...