Перейти к содержанию

шифровальщик с расширением "KUKARACHA" (.kukaracha)

LEN74
 Поделиться

Рекомендуемые сообщения

LEN74 Новичок

LEN74

Опубликовано
Опубликовано

Здравствуйте

поймали вирус-шифровальщик, ( пришло письмо на почту вложенный файл оказался с расширением js., 

файлы зашифрованы "KUKARACHA" (.kukaracha)

при запуске компьютера открывается текстовый документ "ПРОЧТИ МЕНЯ",  след. содержания:

 

Ваши файлы зашифрованы с использованием криптостойкого алгоритма RSA-2048.
Если хотите их вернуть отправьте один из зашифрованных файлов и файл keycode.tta на e-mail: unlock92@india.com
Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.con браузер  TOR и с его помощью зайдите на сайт:
http://ezulxxtwqos5g736.onion-  там будет указан действующий почтовый ящик.
Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!

 

проверкой  Kaspersky Virus Removal Tool 2015 обнаружен вирус:

Trojan-Ransom.Win32.Scatter.lb
Файл: C:\Users\Админ\AppData\Local\Temp\cmss.exe
Троянская программа
    MD5:  6BEE511C779649A7FE989AED8B685268
    SHA256:  CF914E64A00E27CE5532082BCE518627412FC30E09FA5ED34270F17945CC9211

 

платить не стали, хотя утеряны доки за 10 лет , почитала на форумах, что расшифровать не получится, тем более что один "спец" уже попробовал сам лечить, в итоге предложили переустановить систему,

но некоторые файлы не за шифровались, и программки работают, например бизнес-пак, а у нас там документы с 2006года. Точки восстановления системы нет, флешка с базами и сохраненными доками тоже закукарачилась (как раз когда шифровальщик активировался с флешкой работали) Есть старая флешка но на ней инфа трехлетней давности, поэтому не хочется сносить систему, заражение было 02.12.16, после этого на компе делали новые документы - те что в ворде и JPEG не защифровываются, а в эхl когда открываются паралельно открывается еще два табличных документа с каракулями, но основной не изменяется.

 

Подскажите как  почистить комп чтобы удалить все вирусы и  сохранить не поврежденную информацию. и есть ли возможность как то сохранить файлы - может через какое то время появится возможность их расшифровать. Проверку KVRT сделала но вирус ещё не удаляла

CollectionLog-2016.12.13-12.31.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

     

    move.gif

  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.
Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
LEN74 Новичок

LEN74

Опубликовано
  • Автор
Опубликовано

 

  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

     

    move.gif

  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.
Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png

 

Добрый день прикрепляю полученные отчеты

ClearLNK-15.12.2016_13-32.log

FRST.txt

Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\--------ПРОЧТИ МЕНЯ--------.txt [2016-12-02] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keycode.tta [2016-12-02] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keycode1.tta [2016-12-02] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keycode2.tta [2016-12-02] ()
Startup: C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\--------ПРОЧТИ МЕНЯ--------.txt [2016-12-02] ()
Startup: C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\keycode.tta [2016-12-02] ()
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-824696509-2698304537-1489227355-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
C:\Users\Админ\AppData\Local\Temp\cmss.exe
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Ссылка на комментарий
Поделиться на другие сайты
LEN74 Новичок

LEN74

Опубликовано
  • Автор
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\--------ПРОЧТИ МЕНЯ--------.txt [2016-12-02] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keycode.tta [2016-12-02] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keycode1.tta [2016-12-02] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keycode2.tta [2016-12-02] ()
Startup: C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\--------ПРОЧТИ МЕНЯ--------.txt [2016-12-02] ()
Startup: C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\keycode.tta [2016-12-02] ()
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-824696509-2698304537-1489227355-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
C:\Users\Админ\AppData\Local\Temp\cmss.exe
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Прикрепляю созданный лог-файл

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

AV: avast! Antivirus (Enabled - Out of date) {17AD7D40-BA12-9C46-7131-94903A54AD8B}

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). За расшифровкой обращайтесь в техподдержку вашего антивируса.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Fantamax
      Шифровальщик - вымогатор поменял расширение файлов на i54m390g5b4
      Автор Fantamax
      Добрый день. Сегодня в 6 утра вирус поменял расширение у многих файлов и зашифровал. 
      Похожая тема была, но у меня есть бекапы некоторых файлов, можно ли расшифровать (файл бекапа тоже прикрепил в архив):
       
      Addition.txt FRST.txt files.rar
    • badabucha
      Шифровальщик с расширением .frank
      Автор badabucha
      Все файлы на сервере зашифрованы расширением .frank
      FRST.txt Frank_Help.txt файлы.rar Addition.txt
    • Bruce007
      Шифровальщик с расширением fear.pw
      Автор Bruce007
      Здравствуйте!
      Поймали вирус-шифровальщик с расширением fear.pw прикладываю два зашифрованных файла и лог FRST (запускал с live cd) почта platishilidrochish@fear.pw
      Пожалуйста, помогите, чем можете!
      DeCrYpTiOn.txt FRST.txt Примеры файлов.rar
    • Беляш
      Шифровальщик KOZANOSTRA
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
    • Kataomi_3232
      [РЕШЕНО] Неизвестное расширение в Google Chrome.
      Автор Kataomi_3232
      Здравствуйте. После установки игры с неизвестного источника моим родственником, браузер Google Chrome начал 2-3 раза в день вылетать, при попытке зайти в настройки и например удалить историю он стал выдавать - некоторые настройки были изменены сторонним приложением, браузер вернул их по умолчанию. Еще что я заметил, это то, что окошко где находятся расширения после всех этих манипуляций всегда самостоятельно переходили в режим разработчика. Но буквально 30 минут назад на моих глаза из ни откуда появилось расширение torrent scanner, оказывается оно все это время существовало и во встроенном браузере от windows (microsoft edge) Благодаря беседе с одним модератором на форуме касперского, он сообщил мне что стоит обратиться сюда и что расширение установилось локально.
      CollectionLog-2025.05.06-22.58.zip
×
×
  • Создать...