Перейти к содержанию

Шифровальщик повредил файлы doc и xls на компьютере и сетевых папках

Andrey Docker
 Поделиться

Рекомендуемые сообщения

Andrey Docker Новичок

Andrey Docker

Опубликовано
Опубликовано (изменено)

18.01.17 примерно в 8:30, на одной машине пользователя запустился шифровальщик, и зашифровал (на самой машине, и сетевых папках к которым имел доступ пользователь) файлы типа doc и xls.

Документы перестали открываться (не та кодировка и пр.). Имена файлов остались те же. Изменились только дата и время на текущее время кодировки. На рабочем столе пользователя появился скрытый файл типа: RU51B-2AAGE-HOTAR-FRTXZ-ETRZG-XTXFA-KATRA-GKYYY.KEY

Операционная система: Windows 7 Профессиональная (64-разрядная)

Согласно рекомендации: https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]
1. Провел проверку ПК "Kaspersky Virus Removal Tools 2015"

Касперский обнаружил Троянскую программу: Trojan-Ransom.Win32.Spora.d
Файл: C:\User\~ПОЛЬЗОВАТЕЛЬ~\AppData\Local\Temp\file.exe
Троянская программа
MD5:  5EC03B4F84390595BFD17ACDE23F33A6
SHA256:  491AFA46F1F4ED5E9831E92BF31A65505A89A9D12FC010BC5E1369F0E4AE12E9

Выбрал действие: Скопировать в карантин

2. Сборщиком логов компьютер просканировал. Логи к письму прикрепляю.

CollectionLog-2017.01.19-09.42.zip

Изменено пользователем Andrey Docker
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction <======= ATTENTION
2017-01-18 08:40 - 2017-01-18 08:40 - 00001088 ___RH C:\Users\ikomarov\AppData\Roaming\RU51B-2AAGE-HOTAR-FRTXZ-ETRZG-XTXFA-KATRA-GKYYY.KEY
2017-01-18 08:30 - 2017-01-18 08:41 - 14354936 _____ C:\Users\ikomarov\AppData\Roaming\951948370
C:\Users\ikomarov\AppData\Local\Temp\ARPPRODUCTICON.exe
C:\Users\ikomarov\AppData\Local\Temp\dlBCA6C3BB-E6D8-6846-B53A-5ADCF55F428C.exe
C:\Users\ikomarov\AppData\Local\Temp\KTOutlk.dll
C:\Users\ikomarov\AppData\Local\Temp\NewShortcut3_038FA51CD2344986B5A666934722DB27.exe
C:\Users\promanov\AppData\Local\Temp\KTOutlk.dll
zip:C:\FRST\Quarantine
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Ссылка на комментарий
Поделиться на другие сайты
Andrey Docker Новичок

Andrey Docker

Опубликовано
  • Автор
Опубликовано (изменено)

Лог-файл:

=================

Созданный утилитой архив 23.01.2017_08.42.37.zip загрузил через форму http://virusinfo.info/upload_virus.php?tid=37678
При заполнении формы, в поле "Ссылка на тему" оставил по умолчанию "http://virusinfo.info/showthread.php?t=37678".

Результат загрузки:

 

Файл сохранён как
170123_085921_23.01.2017_08.42.37_58859bb99931f.zip
Размер файла
16965499
MD5 de79ce9c89f366fedfcdac7fdebc598a

 

 

Fixlog.txt

Изменено пользователем Andrey Docker
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Произошло тоже самое, скажите что делать? проделать те же операции или ждать ответа по теме?

Создать свою тему нужно. Чужие инструкции нельзя выполнять.
Ссылка на комментарий
Поделиться на другие сайты
Andrey Docker Новичок

Andrey Docker

Опубликовано
  • Автор
Опубликовано (изменено)

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525

Проконсультируйте, пожалуйста:

1. Какие (согласно пункту 5, инструкции https://forum.kasperskyclub.ru/index.php?showtopic=48525) файлы необходимо прикрепить к письму запроса, в моем случае?

2. Вложение из вредоносного письма, и само письмо - не сохранено. Соответственно, прислать их не смогу. Имеются ли, при таком условии, шансы на расшифровку документов?

3. На момент заражения, антивируса от Касперского на компьютере не стояло. Подойдет ли, код активации, приобретенный и активированный позже?

Изменено пользователем Andrey Docker
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано (изменено)

1. Копию вредоносного письма в EML формате, содержимое папки SysWHist, несколько небольших зашифрованных файлов.

2. Тогда содержимое папки C:\FRST\Quarantine

3. См. FAQ по ссылке.

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Максим1985
      Вирус повредил все файлы docx, xlsx
      Автор Максим1985
      Добрый день!
      Столкнулся с каким-то вредоносным ПО, которое повредило все файлы с расширением .docx и .xlsx созданные до 28.03.2025. При попытке открытия файлов MS Office выдаёт сообщение "приложением word в документе обнаружено содержимое которое не удалось прочитать ошибка. Доверяете ли вы источнику? " Если я нажимаю "Да" - файлы не открываются, выводится сообщение об ошибке открытия либо то, что файл повреждён.
      Сканировал Kaspersky Virus Removal Tool и Dr.Web CureIt, вирусов не нашел.
      Действий по вымогательству (если это шифровальщик) не было.
      Логи прикрепляю.
      Была уже похожая тема (
      ), но все же может получится исправить.
      CollectionLog-2025.04.02-10.58.zip Телефон аварийная ситуация.docx Ведомость электропотребления 2025г (1).xlsx
    • Александр КС
      Зашифровались файлы на компе и на сетевом диске.
      Автор Александр КС
      Здравствуйте. Столкнулись с шифровальщиком. 1 компьютер остался включенным на майские праздники. Судя по дате изменения файлов 4 дня зашифровывались файлы и он перекинулся на сетевой диск. 5 мая утром он начал шифровать файлы и на других компьютерах, после их включения. После отключения 1 компьютера от сети шифрование по сети остановилось. Антивирус увидел, что файл morgan.exe начал менять уже .exe файлы и был удален. Был отформатирован диск С и установлена новая windows. Но тысячи файлов остались зашифрованными. Логи, зараженные файлы и записку от злоумышленника прилагаю.
      Зашифрованные файлы и записка.rar Addition.txt FRST.txt
    • serj_serj
      Вирус или вредоносное ПО повредило все файлы MS Office (docx, xlsx и возможно другие)
      Автор serj_serj
      Добрый день!
      Столкнулся с каким-то вредоносным ПО скорее всего, которое повредило все мои файлы с расширением .docx и .xlsx. При попытке открытия файлов MS Office выдаёт сообщение "приложением word в документе обнаружено содержимое которое не удалось прочитать ошибка. Доверяете ли вы источнику? " Если я нажимаю "Да" - файлы не открываются, выводится сообщение об ошибке открытия либо то, что файл повреждён.

      Сканировал Kaspersky Virus Removal Tool, обнаружены:
      1. MEM:Trojan.Win32.SEPEH.gen
      System Memory
      Троянская программа
      2. HEUR:HackTool.Win32.KMSAuto.gen
      C:\Windows\AAct_Tools\AAct.exe

      Пока никаких действий не принимал. Каких-либо действий по вымогательству (если это шифровальщик) не было.
      Логи прикрепляю.
      Получится ли восстановить данные из повреждённых файлов? 
      CollectionLog-2025.03.27-21.39.zip
      ещё для примера прикладываю архив с повреждёнными файлами
      повреждённые файлы.rar
    • Fantamax
      Шифровальщик - вымогатор поменял расширение файлов на i54m390g5b4
      Автор Fantamax
      Добрый день. Сегодня в 6 утра вирус поменял расширение у многих файлов и зашифровал. 
      Похожая тема была, но у меня есть бекапы некоторых файлов, можно ли расшифровать (файл бекапа тоже прикрепил в архив):
       
      Addition.txt FRST.txt files.rar
    • Zubarev211
      Зашифровали данные компьютера с помощью шифровальщика Xorist
      Автор Zubarev211
      Добрый день, поймали шифровальщик Xorist, зашифровали все файлы расширением *.er. Нужно было восстановить базу данных 1С. Из теневой папки получилось восстановить 1CD8.1CD
      Указанный файл не был зашифрован расширением .er, но при запуске выдавало ошибку о повреждении данных.

      Так же пытались вашим декриптором использовали пару 2х файлов, но так же получали ошибку(пробовали на документах ворд)

      Подскажите пожалуйста какие дальнейшие шаги нам нужно сделать, чтобы восстановить базу. Спасибо! 
×
×
  • Создать...