Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Шифровальщик зашифровал doc, docx, pdf, xls

Pasha.Zh.
 Поделиться

Рекомендуемые сообщения

Pasha.Zh. Новичок

Pasha.Zh.

Опубликовано
Опубликовано (изменено)

Доброе день, подскажите куда можно обратиться. Вчера был запущен предположительно вирус-шифровальщик. Пришел архив по электронной почте с адреса <ondrej.mourek@seznam.cz>. После его случайного запуска, все файлы форма doc, docx, pdf, xls перестали открываться, при этом названия и формат не меняли. У них поменялась дата изменения. На всех трех дисках компьютера с которого запустился вирус появились файлы реестра как-будто с кодом активации RUDB4-6CAXK-HXTRZ-ZKTHO-RTRKX-TAOZK-RTOOO-ZYYYY.KEY. Самое интересное, что никаких дополнительных файлов не появлялось, никаких требований не было. По сети также вырезал на двух открытых дисках все файлы на одном компьютере. Файл который запустил вирус у меня есть. При надобности вышлю. Очень надеюсь на вашу помощь. Заранее спасибо.

Прикрепленный файл - пример документа word, а также файл протоколов с того компьютера на котором был запущен вирус

Семинар-практикум 09.01.docx

CollectionLog-2017.01.20-12.24.zip

Изменено пользователем Pasha.Zh.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

С этим типом вымогателя картина пока плачевная. Можем только очистить его следы.

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\USER2\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2016-10-31]
FF Extension: (Поиск@Mail.Ru) - C:\Users\USER2\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2016-10-31]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\USER2\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-10-31]
2017-01-18 08:33 - 2017-01-18 08:33 - 00001088 ___RH C:\Users\USER2\AppData\Roaming\RUDB4-6CAXK-HXTRZ-ZKTHO-RTRKX-TAOZK-RTOOO-ZYYYY.KEY
2017-01-18 08:33 - 2017-01-18 08:33 - 00001088 ___RH C:\RUDB4-6CAXK-HXTRZ-ZKTHO-RTRKX-TAOZK-RTOOO-ZYYYY.KEY
2017-01-18 08:33 - 2017-01-18 08:33 - 00001088 ____R C:\Users\USER2\Desktop\RUDB4-6CAXK-HXTRZ-ZKTHO-RTRKX-TAOZK-RTOOO-ZYYYY.KEY
2017-01-18 08:27 - 2017-01-18 08:34 - 14516584 _____ C:\Users\USER2\AppData\Roaming\3471559794
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Pasha.Zh. Новичок

Pasha.Zh.

Опубликовано
  • Автор
Опубликовано

Спасибо и на этом. Подскажите, с течением времени я могу надеяться, что дешифратор появится? и можно ли мой емэйл внести в какую-нибудь базу данных, чтобы как-то оповестила о выходе?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sloda53
      Вирус или вредоносное ПО повредило все старые файлы MS Office (docx, xlsx)
      Автор sloda53
      Добрый день!
      Столкнулся с каким-то вредоносным ПО, которое повредило все мои старые файлы с расширением .docx и .xlsx.(новый созданный файл работает) При попытке открытия файлов word, excel выдаёт сообщение "приложением excel в документе обнаружено содержимое которое не удалось прочитать ошибка. Доверяете ли вы источнику? " Если я нажимаю "Да" - файлы не открываются, выводится сообщение об ошибке открытия либо то, что файл повреждён и не подходит расширение.
       
      После установил лицензии Kaspersky Premium.
      Сделал полную диагностику и он удалили какие то вирус, но файлы не открываются.
      Прикрепляю отчет из касперского, пару файлов и скрин ошибки.
      Спасибо.
       
      10-06-2025_14-31-35.zip
    • zimolev
      Зашифровали сервера шифровальщик Zeppelin
      Автор zimolev
      на Добрый день. Словили шифрователь Zeppelin. Назаписка.zipчалось все фтп сервера, перекинулось на многие другие, Рабочие машины не пострадали, Все произошло в ночь с 29 на 30 июня 2025
      зашифрованныеФайлы.zip Addition.txt FRST.txt
    • hiveliberty
      Шифровальщик зашифровал на уровне разделов
      Автор hiveliberty
      Доброго дня,
      Коллеги столкнулись вчера с интересным шифровальщиком

      Windows Server 2022
      Зашифрован целый раздел с системой. И судя по всему, даже не битлокером. Несколько отличается окно с предложением ввести пароль.
      С зашифрованного диска снял первые 4кб данных через dd с livecd debian.
      И тоже самое сделал для чисто установленной ос и тоже прикрепил для сравнения.
      Так же снял с загрузочного раздела BCD файл, который явно был изменён во время работы этой дряни.
      Файлы не исполняемые, но упаковал в архив с дефолтным паролем.
      Пробовал отправлять куски через Virustotal - ни одного срабатывания.
      Пока прикреплять не стал, согласно правилам)

      Доступа к диску, естественно, нет и файлы никакие не получить.
      Доступен только диск загрузчика и Recovery

      По большому счёту интересно, можно ли с этим что-то делать.
      И в целом, новое что-то?

      Коллеги связались с этими ребятами, те показали список файлов с паролями от каждого сервера.
      Те спросили имя домена, серверов или их айпишники.
      По имени домена предоставили список файлов с паролями, скрин.

    • Eugene_aka_Hades
      Диски с базами 1С зашифровали шифровальщиком dreed
      Автор Eugene_aka_Hades
      Здравствуйте,
       
      вчера ломанули сервер с файловой 1С-кой, зашифровали все имеющиеся диски, почистили все резервные копии (пока были настроены только теневые копии), а размещенные файлы теперь имеют расширение dreed.
      Попробовал порталы www.nomoreransom.org, noransom.kaspersky.com, но они не смогли определить данный шифровальщик.
       
      Первый раз сталкиваюсь с этой бедой, подскажите, что делать?
    • Максим1985
      Вирус повредил все файлы docx, xlsx
      Автор Максим1985
      Добрый день!
      Столкнулся с каким-то вредоносным ПО, которое повредило все файлы с расширением .docx и .xlsx созданные до 28.03.2025. При попытке открытия файлов MS Office выдаёт сообщение "приложением word в документе обнаружено содержимое которое не удалось прочитать ошибка. Доверяете ли вы источнику? " Если я нажимаю "Да" - файлы не открываются, выводится сообщение об ошибке открытия либо то, что файл повреждён.
      Сканировал Kaspersky Virus Removal Tool и Dr.Web CureIt, вирусов не нашел.
      Действий по вымогательству (если это шифровальщик) не было.
      Логи прикрепляю.
      Была уже похожая тема (
      ), но все же может получится исправить.
      CollectionLog-2025.04.02-10.58.zip Телефон аварийная ситуация.docx Ведомость электропотребления 2025г (1).xlsx
×
×
  • Создать...