Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

шифровальщик

SAMbI4
 Поделиться

Рекомендуемые сообщения

SAMbI4

SAMbI4

Опубликовано
Опубликовано (изменено)

Добрый день.

Зашифровались все файлы, в т.ч. сетевые диски, архив с файлами и телом вируса прилагаю!

 

пароль к архиву - infected

 

Прошу помочь с расшифровкой.

 

Спасибо

Изменено пользователем Sandor
Убрал подозрительный файл
thyrex

thyrex

Опубликовано
Опубликовано

Файл, который запустили перед появлением шифрования (загрузчик шифратора), случайно не сохранился?

  • Спасибо (+1) 1
Sandor

Sandor

Опубликовано
Опубликовано

На предыдущий вопрос ответьте, пожалуйста.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Monthy\AppData\Local\Oqbhics\dhkcaksb.dll','');
 QuarantineFileF('C:\Users\Monthy\AppData\Local\Oqbhics\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Users\Monthy\AppData\Local\Temp\a.txt', '');
 QuarantineFile('C:\Users\Monthy\AppData\Local\Temp\a2.exe', '');
 DeleteFile('C:\Users\Monthy\AppData\Local\Oqbhics\dhkcaksb.dll','32');
 DeleteFile('C:\Users\Monthy\AppData\Local\Temp\a.txt', '32');
 DeleteFile('C:\Users\Monthy\AppData\Local\Temp\a2.exe', '32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-29251391-666041602-1009075631-1120\Software\Microsoft\Windows\CurrentVersion\Run','Ohqhics');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-29251391-666041602-1009075631-1120\Software\Microsoft\Windows\CurrentVersion\Run','Crypted');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-29251391-666041602-1009075631-1120\Software\Microsoft\Windows\CurrentVersion\Run','{9F056BE4-8846-54D2-6B1C-A64FA1E3D37D}');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

SAMbI4

SAMbI4

Опубликовано
  • Автор
Опубликовано

Файл, который запустили перед появлением шифрования (загрузчик шифратора), случайно не сохранился?

файл есть в почте, сотрудник под которым выполнился скрипт, отсутствует сегодня, смогу предоставить только завтра.

Так-же сохранился сам шифратор, могу тоже предоставить.

 

 

На предыдущий вопрос ответьте, пожалуйста.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Monthy\AppData\Local\Oqbhics\dhkcaksb.dll','');
 QuarantineFileF('C:\Users\Monthy\AppData\Local\Oqbhics\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Users\Monthy\AppData\Local\Temp\a.txt', '');
 QuarantineFile('C:\Users\Monthy\AppData\Local\Temp\a2.exe', '');
 DeleteFile('C:\Users\Monthy\AppData\Local\Oqbhics\dhkcaksb.dll','32');
 DeleteFile('C:\Users\Monthy\AppData\Local\Temp\a.txt', '32');
 DeleteFile('C:\Users\Monthy\AppData\Local\Temp\a2.exe', '32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-29251391-666041602-1009075631-1120\Software\Microsoft\Windows\CurrentVersion\Run','Ohqhics');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-29251391-666041602-1009075631-1120\Software\Microsoft\Windows\CurrentVersion\Run','Crypted');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-29251391-666041602-1009075631-1120\Software\Microsoft\Windows\CurrentVersion\Run','{9F056BE4-8846-54D2-6B1C-A64FA1E3D37D}');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

Я вас понял, как будет минутка, займусь

Sandor

Sandor

Опубликовано
Опубликовано

смогу предоставить только завтра. Так-же сохранился сам шифратор, могу тоже предоставить.

Хорошо. Отправьте @thyrex или мне личным сообщением.
SAMbI4

SAMbI4

Опубликовано
  • Автор
Опубликовано

 

 


Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN)

ответ от newvirus@kaspersky.com:

 

quarantine [KLAN-5522382613]

 

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
quarantine.zip

 





 

Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Да, упакуйте с паролем и отправьте.

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Sandor

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
SearchScopes: HKLM-x32 -> {ca6a7ab9-f4b5-4d50-b5d2-33e996549ae3} URL = hxxp://int.search.tb.ask.com/search/GGmain.jhtml?p2=^BXM^xdm004^YYA^sc&ptb=5BA7D547-CC84-401B-ACA7-4AFCC8E45E76&ind=2015102003&n=781c0433&psa=&st=sb&searchfor={searchTerms}
CHR Extension: (No Name) - C:\Users\romenskiy\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2015-12-09]
CHR Extension: (No Name) - C:\Users\romenskiy\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-12-09]
CHR Extension: (No Name) - C:\Users\romenskiy\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-12-09]
CHR Extension: (No Name) - C:\Users\romenskiy\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-12-09]
CHR Extension: (No Name) - C:\Users\romenskiy\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-12-09]
CHR Extension: (No Name) - C:\Users\romenskiy\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2015-12-09]
CHR Extension: (No Name) - C:\Users\romenskiy\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-07-05]
CHR Extension: (No Name) - C:\Users\romenskiy\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-12-09]
AlternateDataStreams: C:\Windows:nlsPreferences [386]
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • GRESHNICKE
      Файлы зашифрованы с цифровым расширением
      Автор GRESHNICKE
      Доброго времени суток! 
      Приключилась та же проблема, что и у автора! 
      Подскажите есть ли общее решение? или сугубо индивидуально подбирается способ расшифровки! 
      По скольку все ярлыки и документы на server 2003 r2 имеют такие симптомы!
       
    • Anton52
      Вирусы пожрали файлы джпег jpeg
      Автор Anton52
      Уважаемые форумчане вирус перестал открывать файлы. Вопрос можно сказать жизни и смерти! Помогите!
    • YOlgaI
      Неполно сработавший шифровальщик
      Автор YOlgaI
      Поймала какой-то, к счастью, "неполный" шифровальщик. Стационарный компьютер, система WIN 10 Pro, версия 1607; 64-разрядный.
       
      Защита была, видимо зря, ESET Smart Security, которая отключила собственную защиту системы. Она стояла на Win7, после автоматической переустановки на Win 10 сохранилась.
       
      Шифровальщик работал не так. как на ноутбуке мужа. Он очень медленно включился и оставил следы на флешке с Robofom'ом в виде Readme файлов. Я тогда не поняла, что это. Этой программой пользуемся и я, и муж. Она работает давно и проблем до сих пор не было.
       
      Прошло дней пять, и эти же Readme появились на одном из разбитых дисков. Но вирус зашифровал маленькую часть папок, все остальные даже со странным значком остались действующими. Я срочно все переписала.
       
      На нескольких дисках он вообще не сработал (не успел?).
       
      Согласно указаниям Sendor в прошлом случае. я собрала все логи и проверки, которые и прилагаю.
       
      Благодарю за помощь, Ольга
      CollectionLog-2016.12.22-12.23.zip
      report1.log
      report2.log
      Addition.txt
      FRST.txt
      Shortcut.txt
      FRST.txt
    • alex12a
      зашифровались файлы
      Автор alex12a
      после открытия письма на майле.ру зашифровались все важные файлы а на рабочем столе появился баннер что файлы зашифрованы ...прилагаю файл логов...что делать...
      и ТИШИНА??????консультанты Помогите чем можете
      CollectionLog-2016.12.20-23.24.zip
    • Анжелика Марчук
      Зашифровало файлы MS-DOS расширение
      Автор Анжелика Марчук
      Здравствуйте,такая проблема качал архив и после его открытия вирус заразил ноутбук,понял это не сразу через пару дней.
      Вирус зашифровал все личные файлы в расширение MS-DOS .com.
      Вот могу дополнить почту,мжет это поможет решить проблему decryptallfiles3@india.com, Все кто что то знает или слышал про этот вирус отзовитесь пожалуйста,может кому то удалось решить проблему,за ранее буду благодарен.
      0yhWP6pqJIhli7tyyvf3.decryptallfiles3@india.rar
×
×
  • Создать...