Перейти к содержанию

Очередной "no_more_ransom" шифровальщик

Dmitriy S
 Поделиться

Рекомендуемые сообщения

Dmitriy S

Dmitriy S

Опубликовано
Опубликовано

Доброго времени суток.

Подхватили этого шифровальщика в электронном письме от якобы провайдера, благо пострадали файлы только на одной машине, на которой открывали письмо. Почитав темы понял, что надеяться на расшифровку файлов бессмысленно, но удалить эту заразу очень хочется. Был установлен антивирус ESET Endpoint Antivirus 5.0, но он даже звука не издал.
 

До конца рабочего дня успел скачать FRST, и произвести сканирование, логи прилагаются.

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Dmitriy S

Dmitriy S

Опубликовано
  • Автор
Опубликовано

В понедельник добавлю информацию, сейчас нет возможности добраться до пострадавшего ПК

Ссылка на комментарий
Поделиться на другие сайты
Dmitriy S

Dmitriy S

Опубликовано
  • Автор
Опубликовано

Проверка Dr.Web CureIt ничего не нашла.

Файл проверки логов через AutoLogger прилагаю.

CollectionLog-2016.12.05-12.03.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-2929011121-2901386438-4270122892-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-2929011121-2901386438-4270122892-1002 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
2016-12-02 10:12 - 2016-12-02 10:12 - 03932214 _____ C:\Users\Жанна\AppData\Roaming\2A7B0CF22A7B0CF2.bmp
2016-12-02 10:12 - 2016-12-02 10:12 - 00004170 _____ C:\Users\Жанна\Desktop\README9.txt
2016-12-02 10:12 - 2016-12-02 10:12 - 00004170 _____ C:\Users\Жанна\Desktop\README8.txt
2016-12-02 10:12 - 2016-12-02 10:12 - 00004170 _____ C:\Users\Жанна\Desktop\README7.txt
2016-12-02 10:12 - 2016-12-02 10:12 - 00004170 _____ C:\Users\Жанна\Desktop\README6.txt
2016-12-02 10:12 - 2016-12-02 10:12 - 00004170 _____ C:\Users\Жанна\Desktop\README5.txt
2016-12-02 10:12 - 2016-12-02 10:12 - 00004170 _____ C:\Users\Жанна\Desktop\README4.txt
2016-12-02 10:12 - 2016-12-02 10:12 - 00004170 _____ C:\Users\Жанна\Desktop\README3.txt
2016-12-02 10:12 - 2016-12-02 10:12 - 00004170 _____ C:\Users\Жанна\Desktop\README2.txt
2016-12-02 10:12 - 2016-12-02 10:12 - 00004170 _____ C:\Users\Жанна\Desktop\README10.txt
2016-12-02 10:12 - 2016-12-02 10:12 - 00004170 _____ C:\Users\Жанна\Desktop\README1.txt
2016-12-02 09:36 - 2016-12-02 09:44 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-02 09:36 - 2016-12-02 09:44 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\ux\AppData\Local\temp\siinst.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • AbzalRai
      Вирус переименовал службы. очередной майнер
      Автор AbzalRai
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. недавно подцепил майнер (система нагружался) удалил утилитой Доктор Паутиной. но к сожалению оставил след. теперь не могу запускать обновление системы и майкрософт магазин. прошу помочь в решение этой проблемы. В инете не нашел общего решение. у всех по разному как я вижу. 
      Вроде собрал для вас все виды логов. надеюсь все правильно сделал. 
       
      Logs.rar
    • fastheel
      Шифровальщик
      Автор fastheel
      Зашифровали сервер , сам вирус был пойман ( есть файл) и есть флаг с которым он был запущен

      update.exe   -pass e32fae18c0e1de24277c14ab0359c1b7
      Addition.txt FRST.txt u4IHZAluh.README.txt Desktop.zip
    • KOHb39
      Шифровальщик blackFL
      Автор KOHb39
      Словили этот злополучный шифровальщик.
      На одной машине удалось изолировать его ехе файл судя по дате создания, файл гулял по ПК в сети.
      Может ли это как-то помочь в расшифровке? Кому передать и каким способом?
    • Влад1810
      Шифровальщик blackFL
      Автор Влад1810
      Аналогично зашифровало, нужна помощьНовая папка.7z
      BlackField_ReadMe.txt
    • Restinn
      Шифровальщик blackFL
      Автор Restinn
      Добрый день. Помогите в расшифровке. Ночью 06.08 все зашифровал и все. В инете никакой инфы нет
      Касперский не был установлен
      Прикрепил файлы и текстовый док 
      Новая папка.rar BlackField_ReadMe.txt
×
×
  • Создать...