Перейти к содержанию

Зашифровались все файлы после открытия почты *.no_more_ransom.

Алексей Ганин

Автор Алексей Ганин
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Алексей Ганин

Алексей Ганин

Опубликовано
Опубликовано (изменено)

Зашифровались все файлы после открытия почты *.no_more_ransom.

 

Прошел вот эту процедуру http://prntscr.com/dllhyf


На момент зарожения антивирус касперского был установлен но почему то был выключен, был установлен internet security. Пользователь сам что то намудрил, я его удалил и поставил kaspersky endpoint security 2010 как на всех компьютерах.

 

Прикрепляю реадми и 3 фала для примера

 

 


Прочитал что еще нужно прикрепить лицензию на каспера, но у нас ключ на 38 компьютеров, не нашел как его можно прикрепить

FRST.txt

Addition.txt

на отправку.rar

Изменено пользователем Алексей Ганин
Ссылка на комментарий
Поделиться на другие сайты
Алексей Ганин

Алексей Ганин

Опубликовано
  • Автор
Опубликовано

Автоматический сбощик логов

Да после того как на этом компьютере сработал этот вирус, я снял жесткий диск и проверил его на вирусы на другом компьютере, он их нашел и удалил 9 киких то объектов

CollectionLog-2016.12.20-12.24.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1434305702&z=856b1303a47d815dc1da37bg5z1c9z3c5e6wfmde2g&from=tti&uid=ST1000LM024XHN-M101MBB_S2TTJ9DC709214&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1434305702&z=856b1303a47d815dc1da37bg5z1c9z3c5e6wfmde2g&from=tti&uid=ST1000LM024XHN-M101MBB_S2TTJ9DC709214&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1434305702&z=856b1303a47d815dc1da37bg5z1c9z3c5e6wfmde2g&from=tti&uid=ST1000LM024XHN-M101MBB_S2TTJ9DC709214&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1434305702&z=856b1303a47d815dc1da37bg5z1c9z3c5e6wfmde2g&from=tti&uid=ST1000LM024XHN-M101MBB_S2TTJ9DC709214&q={searchTerms}
2016-12-19 16:11 - 2016-12-19 16:11 - 06220854 _____ C:\Users\пк\AppData\Roaming\DF4040DBDF4040DB.bmp
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README9.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README8.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README7.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README6.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README5.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README4.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README3.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README2.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README10.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README1.txt
2016-12-19 16:10 - 2016-12-19 16:10 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-12-19 16:10 - 2016-12-19 16:10 - 00000000 __SHD C:\ProgramData\System32
2016-12-19 15:00 - 2016-12-19 18:36 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-19 15:00 - 2016-12-19 18:36 - 00000000 __SHD C:\ProgramData\Windows
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
  • 3 недели спустя...
Sandor

Sandor

Опубликовано
Опубликовано (изменено)

@serxan91, hello,

 

Please, do not post in someone's topoc. Create your own (based on rules of this thread).

Download Autologger, extract it to Desktop and run.

At the end of it work you'll get a zip file named CollectionLog-yyyy.mm.dd-hh.mm.zip, where yyyy.mm.dd-hh.mm - date and time. For example: CollectionLog-2016.07.14-21.04.zip

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
serxan91

serxan91

Опубликовано
Опубликовано

Sorry for that.I dont know this issue.Thanks for help.I understand that I must create new topic.                                                                                                                                                                                                                                                                                                                                                                                                                                                                                               

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Денис А
      Все файлы зашифрованы шифровальщиком
      Автор Денис А
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы на ПК.
      Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа.
       
      Заранее спасибо.
      AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt
      FRST.txt
    • astraoren
      Зашифровались файлы, расширение .enc
      Автор astraoren
      Здравствуйте, шифровальщик зашифровал файлы. Прошу помощи в расшифровке
      encoder files.zip
    • Lingon
      Файлы зашифрованы с расширением .ant_dec
      Автор Lingon
      files.rarAddition.txt
      FRST.txt
    • Evgeniy Alekseevich
      Файлы зашифрованы, расширение файлов helpo2, как расшифровать ?
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
    • SatanicPanzer
      Файлы зашифрованы с расширением Encrypted
      Автор SatanicPanzer
      Скорее всего проник через почту на сервер небольшой фирмы, файлы и логи прикрепляю
      FRST.txt 1.zip
×
×
  • Создать...