Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

По электронной почте пришло письмо с шифровальщиком

Чайник Тата

Автор Чайник Тата
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Чайник Тата Новичок

Чайник Тата

Опубликовано
Опубликовано

По электронной почте пришло письмо с вложенным архивом двух счетов на оплату.  После открытия счетов на оплату были зашифрованы  файлы MS Office и PDF .

  Заражение произошло 23 января  2017 года ориентировочно в 7-40 утра.

Запуск утилиты Dr WEB устранил 1 угрозу.

Самостоятельно восстановила файлы MS Office и PDF находящиеся на диске С из сохранившегося архива.

А вот файлы с диска D восстановить не смогла.CollectionLog-2017.01.27-00.42.zipRUCFE-18OEF-TXXXT-ZTORA-TXZKR-RTROK.HTMLreport2.log

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

SpyHunter 4

YAC(Yet Another Cleaner!)

Интернет

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\program files\sfk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files\SFK\SSFK.exe', '');
 QuarantineFile('C:\Users\Дом\AppData\Roaming\netprotocol.exe', '');
 QuarantineFile('C:\Users\Дом\ms.exe', '');
 QuarantineFile('C:\Users\E786~1\AppData\Local\Temp\machineupdate32.exe', '');
 QuarantineFile('C:\Users\Дом\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUCFE-18OEF-TXXXT-ZTORA-TXZKR-RTROK.HTML', '');
 QuarantineFile('C:\Users\Дом\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndех.lnk', '');
 QuarantineFile('C:\Users\Дом\AppData\Local\Yandex\YandexBrowser\Application\browser.bat', '');
 DeleteFile('C:\Users\Дом\AppData\Local\Yandex\YandexBrowser\Application\browser.bat', '');
 DeleteFile('C:\Program Files\SFK\SSFK.exe', '32');
 DeleteFile('C:\Users\Дом\AppData\Roaming\netprotocol.exe', '32');
 DeleteFile('C:\Users\Дом\ms.exe', '32');
 DeleteFile('C:\Users\E786~1\AppData\Local\Temp\machineupdate32.exe', '32');
 DeleteFile('C:\Users\Дом\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUCFE-18OEF-TXXXT-ZTORA-TXZKR-RTROK.HTML', '32');
 DeleteFileMask('c:\program files\sfk', '*', true);
 DeleteDirectory('c:\program files\sfk');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Netprotocol','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\S9519253','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Debugger 32','command');
 DeleteService('SSFK');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(21);
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Чайник Тата Новичок

Чайник Тата

Опубликовано
  • Автор
Опубликовано

KLAN-5712212935

 

guarantine.zip[KLAN-5712212935]


Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
RUCFE-18OEF-TXXXT-ZTORA-TXZKR-RTROK.HTML
Yаndех.lnk
browser.bat

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.


Вот что получилось.


Здравствуйте, Sandor.

 

Простите, если сделала что то не так, я  слабый, да еще не молодой по возрасту пользователь.

Очень надеюсь на вашу помощь еще и в расшифровке.

Жду ответа.

ClearLNK-27.01.2017_17-03.log

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt

Еще это, пожалуйста.
Ссылка на комментарий
Поделиться на другие сайты
Чайник Тата Новичок

Чайник Тата

Опубликовано
  • Автор
Опубликовано

Хм...а у меня сформировался вот такой файл...


А еще через панель управления не удалились SpyHunter 4
YAC(Yet Another Cleaner!)

AdwCleanerS0.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

у меня сформировался вот такой файл

Правильно. Буква "х" означает - любая цифра.

 

Далее:

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Фишинговое письмо с HR-гайдлайнами | Блог Касперского
      Автор KL FC Bot
      Попытки поставить целевой фишинг на поток мы наблюдаем уже достаточно давно. Как правило, они ограничиваются чуть лучшей стилизацией писем под конкретную компанию, имитацией корпоративного отправителя при помощи методики Ghost Spoofing и персонализацией послания (которая в лучшем случае заключается в обращении к жертве по имени). Однако в марте этого года мы начали регистрировать крайне любопытную рассылку, в которой персонализирован был не только текст в теле писем, но и вложенный документ. Да и сама схема была не совсем типичной — в ней жертву пытались заставить ввести корпоративные учетные данные от почты под предлогом изменений HR-политики.
      Письмо от злоумышленников: просьба ознакомиться с новыми HR-гайдлайнами
      Итак, жертва получает письмо, в котором якобы представители HR, обращаясь по имени, просят ознакомиться с изменениями HR-политики, касающимися протоколов удаленной работы, доступных рабочих льгот и стандартов безопасности. Разумеется, любому сотруднику важны изменения такого рода, курсор так и тянет к приложенному документу (в названии которого, к слову, тоже есть имя получателя). Тем более в письме такая красивая плашка, в которой сказано, что отправитель подтвержденный, сообщение пришло из листа безопасных адресатов. Но как показывает практика, именно в таких случаях к письму стоит присмотреться повнимательнее.
       
       
      View the full article
    • Hikobana
      Взлом почты, телеграмма, Steam
      Автор Hikobana
      Началось все с того, что 17.03 я обнаружила, что средства с Steam были потрачены путем покупки через торговую площадку. Доступа к аккаунту нет ни у кого, защита не подала никаких видов. Я поменяла пароль. В то же время, я заподозрила неладное с несколькими почтами от mail. Так же нигде не сработал аунтификатор. Везде поменяла пароли. На следующий день все повторилось и так продолжалось 3 дня. Итогом стало, что я поставила новую винду с 0. Все хорошо,  вроде прекратилось, случилось то, что взломали аккаунт Телеграмм. Вчера от меня началась рассылка в Дискорде, при том, что я сама находилась в нем. Никакая защита совершенно не сработала. После дискорда, пришло уведомление на WatsApp о попытки зайти на аккаунт. 
      CollectionLog-2025.05.02-06.01.zip
    • Кристина1983
      По электронной почте прислали вредоносный файл
      Автор Кристина1983
      Здравствуйте! Вчера по электронной почте пришел вредоносный файл, якобы Накладная.pdf, но файл был не PDF, просто маскировался. Письмо из почты удалила, при попытке почистить папку удаленные, через несколько секунд это удаленное письмо в удаленных восстанавливалось (почтовый клиент Thunderbird). Касперским проверила лог прилагаю, но в почтовом клиенте опять в удаленных было это письмо. Снова запустила утилиту Касперского с полной проверкой. Было проведено лечение с перезагрузкой.
      Прошу проверить остались ли вредоносные следы в системе? 
       
      Логи Kaspersky Virus Removal Tool Reports.rar
      Логи AutoLogger, после того как отработал Kaspersky Virus Removal Tool
      CollectionLog-2025.02.06-15.12.zip
    • 08Sergey
      Шифровальщик .eking
      Автор 08Sergey
      Всем привет! Помогите пожалуйста, зашифровало файловый сервер, много текстовых документов, стандартные средства не помогли, есть оригинал файла и зашифрованный (в архиве), система переустановлена, письмо с требованиями не найдено...
      eking.zip
    • Павел Бурдейный
      Помощи с шифровальщиком
      Автор Павел Бурдейный
      Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы
      Лист Microsoft Office Excel.xlsx
×
×
  • Создать...