Konstantin_PP Опубликовано 28 ноября, 2016 Share Опубликовано 28 ноября, 2016 Добрый день! Много лет пользуемся вашими лицензионными продуктами сейчас установлен - Kaspersky Endpoint Securiry 10.2.5.3201 Сегодня через внутреннюю почту программы TAXCOM пришло зараженное письмо, в результате файлы переименовались в *NO_MORE_RANSOM. создались 10 файлов README.TXT следующего содержания: Вaши фaйлы былu зaшuфрoвaны. Чmобы pаcшuфpовaть иx, Вам неoбхoдимо отnpaвиmь kод: 45D044C5D4308CAE03BD|0 нa элеkтpонный адpec vladimirscherbinin1991@gmail.com . Дaлее вы nолyчumе все неoбxoдuмыe инcтpукциu. Попытku pаcшифрoваmь сaмocmoяmельнo нe npиведуm нu к чeмy, кpoме безвoзврamной noтepu инфоpмaциu. Eслu вы всё жe xomиmе noпытamься, mo nрeдваpuтельно сделaйте рeзервные кoпиu фaйлов, uначe в cлучae иx измeненuя pacшифрoвkа стaнem нeвoзможной нu nрu кaкиx ycловuяx. Еслu вы нe полyчили оmвета по вышeуkазaнномy адреcy в mечeниe 48 часов (и moлькo в этoм cлyчaе!), воcпoльзyйтесь фoрмой oбрamнoй cвязu. Эmо можно сделaть двумя cпocобами: 1) Cкaчайmе и уcтaновите Tor Browser по cсылke: https://www.torproject.org/download/download-easy.html.en B адpecной cтpoke Tor Browser-а ввeдuтe адpeс: http://cryptsen7fo43rr6.onion/ и нажмите Enter. Зarpузuтся сmраница с фоpмoй oбpаmнoй cвязu. 2) В любoм бpаyзeре nеpейдите no oднoму из адpеcов: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ вчера все работало нормально, помогите пожалуйста. Павлов Константин Addition.txt FRST.txt README1.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Mark D. Pearlstone Опубликовано 28 ноября, 2016 Share Опубликовано 28 ноября, 2016 Порядок оформления запроса о помощи Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 28 ноября, 2016 Share Опубликовано 28 ноября, 2016 Сегодня через внутреннюю почту программы TAXCOM пришло зараженное письмо Вложение или ссылку из письма скиньте в ЛС. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Konstantin_PP Опубликовано 28 ноября, 2016 Автор Share Опубликовано 28 ноября, 2016 (изменено) Сегодня через внутреннюю почту программы TAXCOM пришло зараженное письмо Вложение или ссылку из письма скиньте в ЛС. Уже не можем запустить TAXCOM (переименованы файлы) пока делаются логи, нашел два файла в TEMP Изменено 28 ноября, 2016 пользователем mike 1 Карантин в теме Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 28 ноября, 2016 Share Опубликовано 28 ноября, 2016 (изменено) А с другого компьютера есть возможность посмотреть это письмо? Изменено 28 ноября, 2016 пользователем mike 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Konstantin_PP Опубликовано 28 ноября, 2016 Автор Share Опубликовано 28 ноября, 2016 А с другого компьютера есть возможность посмотреть это письмо? Нет он был установлен только на одном компьютере (зараженном), завтра будут устанавливать на другом. Добавил логи cureit.rar CollectionLog-2016.11.28-22.54.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Konstantin_PP Опубликовано 29 ноября, 2016 Автор Share Опубликовано 29 ноября, 2016 Поможете? Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 29 ноября, 2016 Share Опубликовано 29 ноября, 2016 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Konstantin_PP Опубликовано 29 ноября, 2016 Автор Share Опубликовано 29 ноября, 2016 Прикрепил данные файлы в первом посте Ссылка на комментарий Поделиться на другие сайты More sharing options...
Konstantin_PP Опубликовано 29 ноября, 2016 Автор Share Опубликовано 29 ноября, 2016 Повторно Addition.txt FRST.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 29 ноября, 2016 Share Опубликовано 29 ноября, 2016 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: 2016-11-28 13:13 - 2016-11-28 13:13 - 00004186 _____ C:\README9.txt 2016-11-28 13:13 - 2016-11-28 13:13 - 00004186 _____ C:\README8.txt 2016-11-28 13:13 - 2016-11-28 13:13 - 00004186 _____ C:\README7.txt 2016-11-28 13:13 - 2016-11-28 13:13 - 00004186 _____ C:\README6.txt 2016-11-28 13:13 - 2016-11-28 13:13 - 00004186 _____ C:\README5.txt 2016-11-28 13:13 - 2016-11-28 13:13 - 00004186 _____ C:\README4.txt 2016-11-28 13:13 - 2016-11-28 13:13 - 00004186 _____ C:\README3.txt 2016-11-28 13:13 - 2016-11-28 13:13 - 00004186 _____ C:\README2.txt 2016-11-28 13:13 - 2016-11-28 13:13 - 00004186 _____ C:\README10.txt 2013-06-24 11:30 - 2013-06-24 11:30 - 0000026 _____ () C:\Documents and Settings\Ira-new\Application Data\haasrree 2013-06-24 11:30 - 2013-06-24 11:30 - 0000139 _____ () C:\Documents and Settings\Ira-new\Application Data\haasrrsf 2013-06-21 12:46 - 2013-06-21 12:50 - 0000021 _____ () C:\Documents and Settings\Ira-new\Application Data\rqqqgods 2013-06-21 12:46 - 2013-06-21 12:50 - 0005946 _____ () C:\Documents and Settings\Ira-new\Application Data\rqqqgohg 2013-06-21 11:29 - 2013-06-24 11:33 - 0000038 _____ () C:\Documents and Settings\Ira-new\Application Data\ufqyhfaw 2013-06-21 11:29 - 2013-06-24 11:33 - 0065578 _____ () C:\Documents and Settings\Ira-new\Application Data\ufqyhfqu Task: C:\WINDOWS\Tasks\DistromaticSearchProtect-hourly.job => C:\Program Files\Amazon Browser Settings\AmznSearchProtect.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\DistromaticSearchProtect-logon.job => C:\Program Files\Amazon Browser Settings\AmznSearchProtect.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\DistromaticUpdater-logon.job => C:\Program Files\Amazon Browser Settings\updater.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\DistromaticUpdater-periodic.job => C:\Program Files\Amazon Browser Settings\updater.exe <==== ATTENTION Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму Ссылка на комментарий Поделиться на другие сайты More sharing options...
Konstantin_PP Опубликовано 29 ноября, 2016 Автор Share Опубликовано 29 ноября, 2016 Fixlog.txt прикрепил, Дата_время.zip - не создан, в карантин через данную форму прикрепил зараженные файлы возможно в них есть ключ. Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 29 ноября, 2016 Share Опубликовано 29 ноября, 2016 Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525. Смените все пароли (почта, аська, ftp, скайп, пароли сохраненные в браузерах) Ссылка на комментарий Поделиться на другие сайты More sharing options...
Konstantin_PP Опубликовано 29 ноября, 2016 Автор Share Опубликовано 29 ноября, 2016 Подскажите, вирь активен или уже нет? Дальше по сети может полезть? Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 29 ноября, 2016 Share Опубликовано 29 ноября, 2016 Уже не активен, но важные пароли мог стащить, так что меняйте их. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти