Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Зашифровались файлы

R4sh
 Поделиться

Рекомендуемые сообщения

R4sh

R4sh

Опубликовано
Опубликовано
Весь компьютер зашифровался, так же базы 1С что очень важно

После открытия и запуска файла с яндекс диска 24 ноября, ниже текст со ссылкой что прислали в письме

 

"ВСЕХ!)...ВСЕХ!)...ВСЕХ!!!))ПРИГЛАШАЮ НА НАШУ СВАДЬБУ!!!МЫ ЖДЁМ ВАС В ЗАГСЕ В 14-00...

ДАТА И АДРЕС РЕСТОРАНА здесь... https://yadi.sk/d/XnnoqQKSxGKSV              

 

ДОРОГИЕ МOИ!!!...Приглашение Oткрывается Tолько на KОМПЕ и без него НЕ ПРOПУСТЯT В РЕСТОРАН!)...Приходите Всеее!!!)"

 

 

Надеемся очень на Вашу помощь

CollectionLog-2016.12.21-17.32.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

Поищите пару - зашифрованный/не зашифрованный, упакуйте и тоже прикрепите к следующему сообщению.

R4sh

R4sh

Опубликовано
  • Автор
Опубликовано

2502141Cv8.dt  оригинал один нашел

и четыре зашифрованных файла один из них он, не знаю какой, больше не могу найти оригиналы

 

но у них у всех размер под 60 мб

как быть, отправить на почту может?

Addition.txt

FRST.txt

Shortcut.txt

mike 1

mike 1

Опубликовано
Опубликовано

 

После открытия и запуска файла с яндекс диска 24 ноября, ниже текст со ссылкой что прислали в письме

Вот мне интересно, чем люди думают когда открывают письма с таким текстом? Неужели совсем спам не замечаете?  

Sandor

Sandor

Опубликовано
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО (если не самостоятельно ставили):

Mobogenie

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-98832335-1966989370-3842977856-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} -  No File
Toolbar: HKU\S-1-5-21-98832335-1966989370-3842977856-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-98832335-1966989370-3842977856-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} -  No File
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

R4sh

R4sh

Опубликовано
  • Автор
Опубликовано

Добрый день

Mobogenie - удалил

лог сделал

прикрепил образцы закодированных файлов, оригиналов нету, могу сказать одно, что это картинки в формате *.jpg

Fixlog.txt

VK.rar

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • streben
      Файлы зашифрованы с именем email-dalai.lama2057@gmail.com
      Автор streben
      Добрый день!
      на сервер попал вирус-шифровальщик и зашифровал все файлы с именем email-dalai.lama2057@gmail.com...зараженный файл.rar
      админ почистил сервер от вируса. возможно ли теперь расшифровать зараженный файл с базой данных? 
    • himan83gr
      Вирус зашифровал файлы vpupkin3@aol.com
      Автор himan83gr
      Здравствуйте,
      После зашифровки вирусом, много файлов особино типа *.xlsx , *.docx а так же база 1с,  приобрели имя файла
      "email-vpupkin3@aol.com.ver-CL 1.3.1.0.id-LNPQTUVXYABCUWYZACDEGHJKMNOHJJLNOPRS-15.11.2016 5@07@003246740@@@@@E02B-A3A6.randomname-DFFGHHIIJKKLBCCDDEEEFFGHHIIIJZ.ABB"
      Попробывал расшифровать с помощью rectordecryptor, xoristdecryptor и rannohdecryptor. Не помогло. Проверил на вирусы с virus removal от kaspersky а так же с cureIt от Dr.Web. Все чисто. Логи утилити autologger прикрепляю как указанно в инструкции. Так же прикрепляю пару зашифрованных файлов с readme от мошеников . Спасибо за помощь и поддержку!
      CollectionLog-2016.11.16-10.54.zip
      vpupkin3@aol.comEncryptedFiles.zip
    • anton4ik
      Зашифрованы файлы
      Автор anton4ik
      Вчера, судя по всему подключившись по RDP, скопировали файл и запустили шифровальщик.
      Сегодня утром на рабочем столе был обнаружен запущенный файл vis.exe. Антивирус отключили, поковырялись с учетными записями...
       
      Файлы теперь имеют имена типа email-tatarian@india.com.ver-CL 1.3.1.0.id-@@@@@4684-E4C6.randomname-ZBCDEEFGGHIIIJKKLMNNNOPPQRRRST.UVV.xxy
       
      Есть файл шифровальщика. И вроде как один файл оригинала зашифрованного файла (определил по размеру, ко всем файлам добавилось ~30-32 кб)
      CollectionLog-2016.12.15-15.08.zip

    • Liberte
      Шифровальщик tatarian@india.com.ver-CL 1.3.1.0.id
      Автор Liberte
      Поймал шифровальщика. шифрует документы и базы 1c (1cd) 
      имена файлов примерно такие: email-tatarian@india.com.ver-CL 1.3.1.0.id-RTVYCEGJLNQSUWZBDFIKNORTWYACFHJLOQTU-09.12.2016 23@55@056371906@@@@@168B-F26F.randomname-NPSUYADFIKNORTWYBCFHKLOQTVXZCE.HKL.ppr (расширения файлов разные ) сам вирус отыскать не удалось, похоже, что имели удаленный доступ к ПК и почистили следы за собой. (антивирус endpoint 10)
      Cureit тоже ничего не нашел.
      файл readme содержит:
      ATTENTION! Your computer was attacked by trojan called cryptolocker. All your files are encrypted with cryptographically strong algorithm, and without original decryption key recovery is impossible. To get your unique key and decode your files, you need to write us at email written below during 72 hours,  otherwise your files will be destroyed forever! tatarian@india.com tatarian@india.com   Теневых копий нету.
      Лог прикрепляю, а также файлы зашифрованный и оригинальный.
      Есть ли способ восстановить.
      файлы в архиве files, пароль: files
      files.rar
      CollectionLog-2016.12.13-12.58.zip
      Addition.txt
      FRST.txt
    • яДмитрий
      расшифровка
      Автор яДмитрий
      прошёл год может изменилась ситуация 
      заражение было после открытия письма и на тот момент стоял антивирус аваст 
      прикрепляю логи
      CollectionLog-2016.12.09-22.37.zip
×
×
  • Создать...