Перейти к содержанию

Рекомендуемые сообщения

Добрый день! На почту поступило письмо от неизвестного с зип-архивным файлом, после его открытия произошло заражение компьютера вирусом, т.е. все документы офиса и рисунки были зашифрованы. при открытии браузера появилась страница с требованиями заплатить деньги за расшифровку

 

FRST.txt

 

Прикрепляю файлы которые были зашифрованы, а также логи программ проверки предложенных на сайте

 

 

 

Addition.txt

report1.log

report2.log

Акт на инвентаризацию 2015.docx

График дежурства в общежитии.docx

post-43527-0-82985800-1484550766_thumb.jpg

Изменено пользователем Helen_86
Ссылка на комментарий
Поделиться на другие сайты

Необходим лог вида CollectionLog-yyyy.mm.dd-hh.mm.zip, где yyyy.mm.dd-hh.mm - дата и время запуска сканирования. Например: CollectionLog-2014.07.14-21.04.zip
Для того чтобы убедиться, что нет активной угрозы.

Ссылка на комментарий
Поделиться на другие сайты

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

 

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    Zip: C:\Users\МарчукЕН\AppData\Local\Temp\15aaeeb0-ed08-9291-9fcc-7f07fc80ff5e.exe;C:\Users\МарчукЕН\AppData\Local\Temp\goodtdeaasdgb54.exe;C:\Users\МарчукЕН\AppData\Roaming\442942118
    File: C:\Users\МарчукЕН\Downloads\LI_97c416c1f6939102bff7be0f2deab6f4.exe
    2017-01-13 09:06 - 2017-01-13 10:08 - 01982600 _____ C:\Users\МарчукЕН\AppData\Roaming\442942118
    C:\Users\Администратор\AppData\Local\Temp\15aaeeb0-ed08-9291-9fcc-7f07fc80ff5e.exe
    C:\Users\Администратор\AppData\Local\Temp\ReimagePackage.exe
    C:\Users\МарчукЕВ1\AppData\Local\Temp\magentsetup.exe
    C:\Users\МарчукЕН\AppData\Local\Temp\15aaeeb0-ed08-9291-9fcc-7f07fc80ff5e.exe
    C:\Users\МарчукЕН\AppData\Local\Temp\goodtdeaasdgb54.exe
    Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.


<дата>_<время>.zip (где <дата> - текущая дата, <время> - текущее время ) с рабочего стола отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

Ссылка на комментарий
Поделиться на другие сайты

Отправляли архив на проверку?

 

<дата>_<время>.zip (где <дата> - текущая дата, <время> - текущее время  с рабочего стола отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

Ссылка на комментарий
Поделиться на другие сайты

Да, отправили.

________________________________________________________________________________________

Запрос KLAN-5660705746 в сообщении:

 

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Мы не смогли распаковать эти архивы:
16_01_2017_13_36.zip

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

________________________________________________

 

Мы не смогли отправить просто заархивированный файл, пришлось его запаролить и только тогда письмо дошло до адресата. Пароль архива указали в письме.

Ссылка на комментарий
Поделиться на другие сайты

Нет, архив не пустой 82КБ, архив просто запаролен, автоматическая система поэтому и не смогла его вскрыть. А если отправлять без пароля, то письмо автоматически откланяется их системой и не доставляется адресату. Запрос в тех. поддержку создали, зашифрованные файлы отправили.

Ссылка на комментарий
Поделиться на другие сайты

Ответ на запрос о помощи из службы технической поддержки:

 

Уважаемый, Клиент!

Анализ предоставленных Вами файлов показал, что файлы были зашифрованы модификацией Trojan-Ransom.Win32.Spora.
Данная модификация трояна использует криптографически стойкие алгоритмы.

К сожалению, расшифровка на данный момент не возможна.

Мы сохраняем информацию о запросах, в которых не удалось расшифровать данные (номер инцидента, образцы зашифрованных файлов, дополнительные данные). Если расшифровка станет возможна, мы переоткроем обращение и пришлём Вам утилиту-декриптор.

Можем ли мы закрыть запрос, до момента создания утилиты?

Большое спасибо

Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • hobbit86
      От hobbit86
      Добрый день!
      На сервер 1С попал шифровальщик King Ransomware. Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      Проблема появилась после посещения специалиста обслуживающей 1С компании по Anydesk.
       
      FRST.txt Virus.rar Encrypted.rar
    • LamerMan
      От LamerMan
      Здравствуйте, 04.10.2022 на комп попал вирус-шифровальщик Elbie Ransomware, все файлы стали с расширением .lnk.id[E2638681-3398].[helprequest@techmail.info].Elbie
      Обратились в компанию по расшифровке, сказали цену 250 тыс. рублей. Сотрудник подключился удаленно и просканировал систему, оставив за собой софт(приложу во вложения)
      На момент заражения был открыт порт 3389 и настроено рдп с несложными паролями, на компе стоял Kaspersky Free (AVP21.3), есть предположение, что злоумышленник ботнетом пинговал айпишники с к классическими портами, затем забрутфорсил пароль
      Программа сотрудника аутсорс компании сканирует файлы, а затем выдает какой-то код, я так и не разобрался что с ним делать, он сказал что этим кодом пишется дешифратор. Так же там есть .exe программа, в которой ей кнопка decrypt, но она требует какой-то ключ, надеюсь, найдется человек, который сможет с этим разобраться
      Elbie Decrypt.zip
    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • Aleksandr63
      От Aleksandr63
      Здравствуйте! зашифровало всё
      Новая папка.7z FRST.txt
    • Irina4832
      От Irina4832
      Помогите! Все файлы зашифровали, онлай определители типа шифровщика его не находят
      qbpBqR1L6.README.txt
×
×
  • Создать...