Niblis Опубликовано 17 января, 2017 Share Опубликовано 17 января, 2017 Здравствуйте! Поймал вирус шифровальщик. Все файлы зашифрованы с расширением no_more_ransom. Вирус находился в письме mail.ru. Создались 10 Readme.txt. Вот текст: Baши файлы былu зашuфрованы. Чmобы pacшuфровaть ux, Вaм неoбxодuмo отnравить код: D95D2E17F5EC136040C4|0 нa элeкmрoнный адpeс vladimirscherbinin1991@gmail.com . Далee вы пoлyчuте вcе нeoбxодuмыe инсmpyкции. Поnыmкu расшифровaть cамocmояmeльнo нe приведym нu к чемy, kpoме бeзвoзврaтной пoтeрu информациu. Еcлu вы всё жe xoтитe поnыmаmьcя, тo nредваpuтeльно cдeлaйme резервныe konиu файлoв, uначе в cлучaе иx uзменeнuя paсшифpoвка cmaнem невoзможнoй ни npи kаkux ycлoвuях. Ecли вы нe nолyчилu oтвeта nо вышеyказаннoму адрeсy в mеченuе 48 чаcoв (u тoлькo в эmoм cлyчаe!), вoсnoльзyйтесь формой обрaтной связи. Этo мoжнo cдeлaть двyмя cпоcoбами: 1) Ckaчайтe и уcmaновumе Tor Browser nо cсылке: https://www.torproje...ad-easy.html.en B адpecной cтроке Tor Browser-а ввeдитe адpеc: http://cryptsen7fo43rr6.onion/ и нaжмume Enter. Загpyзuтcя cтрaницa с формой oбpаmной cвязu. 2) B любом браузeрe nepeйдите no oднoму из адpеcов: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ All the important files on your computer were encrypted. To decrypt the files you should send the following code: D95D2E17F5EC136040C4|0 to e-mail address vladimirscherbinin1991@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. If you still want to try to decrypt them by yourself please make a backup at first because the decryption will become impossible in case of any changes inside the files. If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!), use the feedback form. You can do it by two ways: 1) Download Tor Browser from here: https://www.torproje...ad-easy.html.en Install it and type the following address into the address bar: http://cryptsen7fo43rr6.onion/ Press Enter and then the page with feedback form will be loaded. 2) Go to the one of the following addresses in any browser: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ получилось это походу так: отцу пришло письмо он ждал посылку в письме прикреплен файл с расширением по моему js имя было что то связано с DHL он не смог открыть прислал мне и просил открыть может получится ну я ничего не подозревая помучился с ним и бросил и вот через несколько дней обнаружил всё это. комп проверил антивирусом и он удалил этот фал вируса. Прошу Вас помочь в расшифровке если есть такая возможность CollectionLog-2017.01.17-11.35.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 17 января, 2017 Share Опубликовано 17 января, 2017 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFileF('c:\users\ceres\appdata\local\fupdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('c:\users\ceres\appdata\local\scriptwriter', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFile('C:\Users\ceres\AppData\Local\fupdate\fupdate.exe', ''); QuarantineFile('C:\Users\ceres\AppData\Local\ScriptWriter\ScriptWriter.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "FileSystemDriver" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ScriptWriter" /F', 0, 15000, true); DeleteFile('C:\Users\ceres\AppData\Local\fupdate\fupdate.exe', '32'); DeleteFile('C:\Users\ceres\AppData\Local\ScriptWriter\ScriptWriter.exe', '32'); DeleteFileMask('c:\users\ceres\appdata\local\fupdate', '*', true); DeleteFileMask('c:\users\ceres\appdata\local\scriptwriter', '*', true); DeleteDirectory('c:\users\ceres\appdata\local\fupdate'); DeleteDirectory('c:\users\ceres\appdata\local\scriptwriter'); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Niblis Опубликовано 18 января, 2017 Автор Share Опубликовано 18 января, 2017 Огромное спасибо. New virus [KLAN-5670536710] Вот отчеты по работе Clear LNK и AdwCleaner ClearLNK-18.01.2017_09-36.log AdwCleanerS0.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 18 января, 2017 Share Опубликовано 18 января, 2017 1. Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Прокси Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Niblis Опубликовано 18 января, 2017 Автор Share Опубликовано 18 января, 2017 Отчеты Addition.txt FRST.txt Shortcut.txt AdwCleanerC0.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
konstantin_st Опубликовано 18 января, 2017 Share Опубликовано 18 января, 2017 Добрый день, произошла похожая ситуация, только на компьютере в мое отсутствие уже провели переустановку системы, но на внешнем жестком диске остались зашифрованные файлы, а также удалось восстановить файл из вложения в письме, прошу Вашей помощи... Если необходимо файл пришлю. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 18 января, 2017 Share Опубликовано 18 января, 2017 @konstantin_st, не пишите в чужой теме, создайте свою. Прочтите и выполните Порядок оформления запроса о помощи @Niblis, для Вас: Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File Toolbar: HKU\S-1-5-21-3458421893-2401311420-4006705800-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File 2017-01-12 07:02 - 2017-01-12 12:34 - 00000000 __SHD C:\Users\Все пользователи\Windows 2017-01-12 07:02 - 2017-01-12 12:34 - 00000000 __SHD C:\ProgramData\Windows C:\Users\ceres\AppData\Local\Temp\0bOyWMtNlLmL.exe C:\Users\ceres\AppData\Local\Temp\0izq1LCaFXCS.exe C:\Users\ceres\AppData\Local\Temp\1jPPiQqyWX8U.exe C:\Users\ceres\AppData\Local\Temp\1KLpjp0AjwTO.exe C:\Users\ceres\AppData\Local\Temp\1vwMJnLauZWV.exe C:\Users\ceres\AppData\Local\Temp\2FxK6a3YvCC4.exe C:\Users\ceres\AppData\Local\Temp\3L07GaVSgYio.exe C:\Users\ceres\AppData\Local\Temp\52ZquRhk2r6H.exe C:\Users\ceres\AppData\Local\Temp\5h2kdMSU8KNl.exe C:\Users\ceres\AppData\Local\Temp\5ubSXeIPSGag.exe C:\Users\ceres\AppData\Local\Temp\6kRNNYJ1Ucty.exe C:\Users\ceres\AppData\Local\Temp\6vSnA196ozie.exe C:\Users\ceres\AppData\Local\Temp\8wo48Q4Z14tJ.exe C:\Users\ceres\AppData\Local\Temp\9I7iw36NBs85.exe C:\Users\ceres\AppData\Local\Temp\aGcXclDpdMiP.exe C:\Users\ceres\AppData\Local\Temp\aHUQEfvycGiZ.exe C:\Users\ceres\AppData\Local\Temp\AOo8ebbjGLFM.exe C:\Users\ceres\AppData\Local\Temp\b7wBJT3ShTUr.exe C:\Users\ceres\AppData\Local\Temp\bE51dSOsKT2e.exe C:\Users\ceres\AppData\Local\Temp\Bp8oP13b0Qcg.exe C:\Users\ceres\AppData\Local\Temp\CRlEwum191w3.exe C:\Users\ceres\AppData\Local\Temp\cs0ziCxho7kd.exe C:\Users\ceres\AppData\Local\Temp\ctm6n57gvTbh.exe C:\Users\ceres\AppData\Local\Temp\DqEkgRSQIGSj.exe C:\Users\ceres\AppData\Local\Temp\dUnCFoidLB1M.exe C:\Users\ceres\AppData\Local\Temp\Dx57y13cIufy.exe C:\Users\ceres\AppData\Local\Temp\EWL10ywePN5X.exe C:\Users\ceres\AppData\Local\Temp\fkp2J6qRmgu8.exe C:\Users\ceres\AppData\Local\Temp\FUnUR1jEWjHS.exe C:\Users\ceres\AppData\Local\Temp\fuus58bMDLGL.exe C:\Users\ceres\AppData\Local\Temp\GpD3kf2sx1Ei.exe C:\Users\ceres\AppData\Local\Temp\gYDOo75qeO51.exe C:\Users\ceres\AppData\Local\Temp\H4K7Q7U0e21i.exe C:\Users\ceres\AppData\Local\Temp\hMV4asuDeM4Z.exe C:\Users\ceres\AppData\Local\Temp\HshYm2yPZURI.exe C:\Users\ceres\AppData\Local\Temp\Hy1BOQ2QMwpz.exe C:\Users\ceres\AppData\Local\Temp\IaufSVyjhUSZ.exe C:\Users\ceres\AppData\Local\Temp\iNFxxWzsmSWe.exe C:\Users\ceres\AppData\Local\Temp\IPCRElNwvToY.exe C:\Users\ceres\AppData\Local\Temp\Ixpaz7Rgjo5H.exe C:\Users\ceres\AppData\Local\Temp\J8lBzDU6vqyR.exe C:\Users\ceres\AppData\Local\Temp\j8ngUpFVgefX.exe C:\Users\ceres\AppData\Local\Temp\jOek3afDUefQ.exe C:\Users\ceres\AppData\Local\Temp\JqAGNZbAcfUs.exe C:\Users\ceres\AppData\Local\Temp\jqJsTDHmGi9c.exe C:\Users\ceres\AppData\Local\Temp\k35Vf9wz0sXj.exe C:\Users\ceres\AppData\Local\Temp\kaIqEB9i22Qx.exe C:\Users\ceres\AppData\Local\Temp\khWcy5zBx4Eb.exe C:\Users\ceres\AppData\Local\Temp\LIDTUnaENrfU.exe C:\Users\ceres\AppData\Local\Temp\lQTY0kN8ieBE.exe C:\Users\ceres\AppData\Local\Temp\lWnjMb3hOqbG.exe C:\Users\ceres\AppData\Local\Temp\mY9qYH3yJBGu.exe C:\Users\ceres\AppData\Local\Temp\mz3IeQqBtC04.exe C:\Users\ceres\AppData\Local\Temp\N5QKUrJ2TcjY.exe C:\Users\ceres\AppData\Local\Temp\NfecyME06pTt.exe C:\Users\ceres\AppData\Local\Temp\nJ7Rmu88Ec29.exe C:\Users\ceres\AppData\Local\Temp\ODqLPDhLoLeu.exe C:\Users\ceres\AppData\Local\Temp\OkQiBmf8OUO6.exe C:\Users\ceres\AppData\Local\Temp\OpE1Lj5AYvOM.exe C:\Users\ceres\AppData\Local\Temp\P1t9Dn2a34bq.exe C:\Users\ceres\AppData\Local\Temp\P4v7j5235G61.exe C:\Users\ceres\AppData\Local\Temp\PkrrdPFaeJ7r.exe C:\Users\ceres\AppData\Local\Temp\PlYllAwaijqZ.exe C:\Users\ceres\AppData\Local\Temp\PvOXn4VNzlzE.exe C:\Users\ceres\AppData\Local\Temp\qAEETdBU5MRP.exe C:\Users\ceres\AppData\Local\Temp\QN9xGvzTwUvt.exe C:\Users\ceres\AppData\Local\Temp\QpDkrMwANmRl.exe C:\Users\ceres\AppData\Local\Temp\qZRtMyiXqb7T.exe C:\Users\ceres\AppData\Local\Temp\Sc9zQsamQzFS.exe C:\Users\ceres\AppData\Local\Temp\SgL6CvlgxBEE.exe C:\Users\ceres\AppData\Local\Temp\SGmgUjO7UBWk.exe C:\Users\ceres\AppData\Local\Temp\SkypeSetup.exe C:\Users\ceres\AppData\Local\Temp\sLwoyu4gDnsh.exe C:\Users\ceres\AppData\Local\Temp\tQSxwbrEb1UF.exe C:\Users\ceres\AppData\Local\Temp\tUm924Nu1Med.exe C:\Users\ceres\AppData\Local\Temp\u4XHJNu95UJm.exe C:\Users\ceres\AppData\Local\Temp\UAFgdnbObxDD.exe C:\Users\ceres\AppData\Local\Temp\uBbKeDtRDbBq.exe C:\Users\ceres\AppData\Local\Temp\Uninstall.exe C:\Users\ceres\AppData\Local\Temp\V0RneMxuGv6X.exe C:\Users\ceres\AppData\Local\Temp\V2ff67aHuSgu.exe C:\Users\ceres\AppData\Local\Temp\VhtBsomgGQmx.exe C:\Users\ceres\AppData\Local\Temp\VN4F88MTDn3W.exe C:\Users\ceres\AppData\Local\Temp\W6HIWbvPvhbn.exe C:\Users\ceres\AppData\Local\Temp\wE5yGhncdOYM.exe C:\Users\ceres\AppData\Local\Temp\WEV7Mo47cj9e.exe C:\Users\ceres\AppData\Local\Temp\wOCRqgHeWIRj.exe C:\Users\ceres\AppData\Local\Temp\WtJTHX013Eb6.exe C:\Users\ceres\AppData\Local\Temp\xD9Z112TojqA.exe C:\Users\ceres\AppData\Local\Temp\xfBPLJQAKXNl.exe C:\Users\ceres\AppData\Local\Temp\xUA2Irx9qVgP.exe C:\Users\ceres\AppData\Local\Temp\y0lo6Gesp73p.exe C:\Users\ceres\AppData\Local\Temp\zaWGU9trimWQ.exe C:\Users\ceres\AppData\Local\Temp\zCIdjR5lLvJM.exe C:\Users\ceres\AppData\Local\Temp\ZW10wPJkWjPl.exe C:\Users\ceres\AppData\Local\Temp\_is42BA.exe C:\Users\ceres\AppData\Local\Temp\_is54B4.exe C:\Users\ceres\AppData\Local\Temp\_is6306.exe C:\Users\ceres\AppData\Local\Temp\_is6BCC.exe C:\Users\ceres\AppData\Local\Temp\_is9AC8.exe C:\Users\ceres\AppData\Local\Temp\_isA449.exe C:\Users\ceres\AppData\Local\Temp\_isBA88.exe C:\Users\ceres\AppData\Local\Temp\_isDD1B.exe C:\Users\ceres\AppData\Local\Temp\_isECFC.exe Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Niblis Опубликовано 18 января, 2017 Автор Share Опубликовано 18 января, 2017 Лог Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 18 января, 2017 Share Опубликовано 18 января, 2017 Адварь и следы вымогателя очищены. С расшифровкой помочь не сможем. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Niblis Опубликовано 18 января, 2017 Автор Share Опубликовано 18 января, 2017 Адварь и следы вымогателя очищены. С расшифровкой помочь не сможем. большое спасибо. есть ли надежда на расшифровку в скором будущем? стоит ли сохранить файлы? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 18 января, 2017 Share Опубликовано 18 января, 2017 Надежда, как известно... Если есть возможность, файлы сохраните. Смените важные пароли, могли быть украдены. Проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Niblis Опубликовано 18 января, 2017 Автор Share Опубликовано 18 января, 2017 й SecurityCheck.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 18 января, 2017 Share Опубликовано 18 января, 2017 ------------------------------- [ Windows ] ------------------------------- Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя включен Автоматическое обновление отключено Дата установки обновлений: 2016-07-16 00:09:40 --------------------------- [ OtherUtilities ] ---------------------------- Foxit Reader 7.0.3.916 v.v 7.0.3.916 Внимание! Скачать обновления ^Локализованные версии могут обновляться позже англоязычных!^ WinRAR 4.11 (64-разрядная) v.4.11.0 Внимание! Скачать обновления TeamViewer 11 v.11.0.59518 Внимание! Скачать обновления VLC Media Player 1.1.10 v.1.1.10 Внимание! Скачать обновления --------------------------------- [ IM ] ---------------------------------- Skype™ 7.29 v.7.29.102 Внимание! Скачать обновления ^Необязательное обновление.^ -------------------------------- [ Java ] --------------------------------- JavaFX 2.1.1 v.2.1.1 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u112-windows-i586.exe). Java 7 Update 5 v.7.0.50 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u112-windows-i586.exe). --------------------------- [ AppleProduction ] --------------------------- Bonjour v.3.0.0.10 Внимание! Скачать обновления ^Для проверки новой версии используйте приложение Apple Software Update^ QuickTime v.7.71.80.42 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО. --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 11 ActiveX & Plugin 64-bit v.11.1.102.63 Внимание! Скачать обновления ^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^ Adobe Flash Player 21 NPAPI v.21.0.0.182 Внимание! Скачать обновления Adobe Reader X (10.1.2) - Russian v.10.1.2 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC. ------------------------------- [ Browser ] ------------------------------- Opera 11.64 v.11.64.1403 Внимание! Скачать обновления Opera 11.52 v.11.52 Внимание! Скачать обновления ---------------------------- [ UnwantedApps ] ----------------------------- Html5 geolocation provider v.3.5.4.872 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Update for Html5 geolocation provider v.3.7.6.911 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Прочтите и выполните Рекомендации после удаления вредоносного ПО 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти