Перейти к содержанию

Зашифровались все файлы после открытия почты *.no_more_ransom.

Алексей Ганин

От Алексей Ганин
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Алексей Ганин Новичок

Алексей Ганин

Опубликовано
Опубликовано (изменено)

Зашифровались все файлы после открытия почты *.no_more_ransom.

 

Прошел вот эту процедуру http://prntscr.com/dllhyf


На момент зарожения антивирус касперского был установлен но почему то был выключен, был установлен internet security. Пользователь сам что то намудрил, я его удалил и поставил kaspersky endpoint security 2010 как на всех компьютерах.

 

Прикрепляю реадми и 3 фала для примера

 

 


Прочитал что еще нужно прикрепить лицензию на каспера, но у нас ключ на 38 компьютеров, не нашел как его можно прикрепить

FRST.txt

Addition.txt

на отправку.rar

Изменено пользователем Алексей Ганин
Ссылка на комментарий
Поделиться на другие сайты
Алексей Ганин Новичок

Алексей Ганин

Опубликовано
  • Автор
Опубликовано

Автоматический сбощик логов

Да после того как на этом компьютере сработал этот вирус, я снял жесткий диск и проверил его на вирусы на другом компьютере, он их нашел и удалил 9 киких то объектов

CollectionLog-2016.12.20-12.24.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1434305702&z=856b1303a47d815dc1da37bg5z1c9z3c5e6wfmde2g&from=tti&uid=ST1000LM024XHN-M101MBB_S2TTJ9DC709214&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1434305702&z=856b1303a47d815dc1da37bg5z1c9z3c5e6wfmde2g&from=tti&uid=ST1000LM024XHN-M101MBB_S2TTJ9DC709214&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1434305702&z=856b1303a47d815dc1da37bg5z1c9z3c5e6wfmde2g&from=tti&uid=ST1000LM024XHN-M101MBB_S2TTJ9DC709214&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1434305702&z=856b1303a47d815dc1da37bg5z1c9z3c5e6wfmde2g&from=tti&uid=ST1000LM024XHN-M101MBB_S2TTJ9DC709214&q={searchTerms}
2016-12-19 16:11 - 2016-12-19 16:11 - 06220854 _____ C:\Users\пк\AppData\Roaming\DF4040DBDF4040DB.bmp
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README9.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README8.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README7.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README6.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README5.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README4.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README3.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README2.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README10.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README1.txt
2016-12-19 16:10 - 2016-12-19 16:10 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-12-19 16:10 - 2016-12-19 16:10 - 00000000 __SHD C:\ProgramData\System32
2016-12-19 15:00 - 2016-12-19 18:36 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-19 15:00 - 2016-12-19 18:36 - 00000000 __SHD C:\ProgramData\Windows
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
  • 3 weeks later...
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

@serxan91, hello,

 

Please, do not post in someone's topoc. Create your own (based on rules of this thread).

Download Autologger, extract it to Desktop and run.

At the end of it work you'll get a zip file named CollectionLog-yyyy.mm.dd-hh.mm.zip, where yyyy.mm.dd-hh.mm - date and time. For example: CollectionLog-2016.07.14-21.04.zip

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
serxan91 Новичок

serxan91

Опубликовано
Опубликовано

Sorry for that.I dont know this issue.Thanks for help.I understand that I must create new topic.                                                                                                                                                                                                                                                                                                                                                                                                                                                                                               

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Лариса B
      King зашифровал файлы организации
      От Лариса B
      Добрый день!
      В локальную сеть попал шифровальщик.  Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      К сожалению пока не удалось понять, как он попал и где нахоится источник(. 
      Но сегодня  ночью, по времени - все файлы  оказались зашифрованы. 

      Прикладывают  файлы, согласно правилам зашифрованные файлы + требования.rar

      Подскажите пож-та 
      1. Как найти источник   заражения, сам шифровальщик, какие есть методы 
      2. Как можно дешифровать  данные файлы 
       
      Спасибо большое!
    • hobbit86
      King Ransomware зашифровал файлы организации
      От hobbit86
      Добрый день!
      На сервер 1С попал шифровальщик King Ransomware. Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      Проблема появилась после посещения специалиста обслуживающей 1С компании по Anydesk.
       
      FRST.txt Virus.rar Encrypted.rar
    • Хасан Абдурахман
      Касперский тормозит открытие сайтов.
      От Хасан Абдурахман
      Открываеш гугл. Кликаеш по ссылке на какой нибудь сайт . И ждешь, пока касперский решит его открыть. Иногда 3-5 минут ждешь. Аж вся душа выматывается.  
    • Алексей Андронов
      Поймали по почте шифровальщик-вымогатель
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
    • ALFGreat
      Шифровальщик BitLocker зашифровал все диски и файлы.
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
×
×
  • Создать...