По электронной почте пришло письмо с шифровальщиком

26 января, 2017

По электронной почте пришло письмо с вложенным архивом двух счетов на оплату. После открытия счетов на оплату были зашифрованы файлы MS Office и PDF .

Заражение произошло 23 января 2017 года ориентировочно в 7-40 утра.

Запуск утилиты Dr WEB устранил 1 угрозу.

Самостоятельно восстановила файлы MS Office и PDF находящиеся на диске С из сохранившегося архива.

А вот файлы с диска D восстановить не смогла.CollectionLog-2017.01.27-00.42.zip RUCFE-18OEF-TXXXT-ZTORA-TXZKR-RTROK.HTML report2.log

27 января, 2017

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

SpyHunter 4

YAC(Yet Another Cleaner!)

Интернет

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\program files\sfk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files\SFK\SSFK.exe', '');
 QuarantineFile('C:\Users\Дом\AppData\Roaming\netprotocol.exe', '');
 QuarantineFile('C:\Users\Дом\ms.exe', '');
 QuarantineFile('C:\Users\E786~1\AppData\Local\Temp\machineupdate32.exe', '');
 QuarantineFile('C:\Users\Дом\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUCFE-18OEF-TXXXT-ZTORA-TXZKR-RTROK.HTML', '');
 QuarantineFile('C:\Users\Дом\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndех.lnk', '');
 QuarantineFile('C:\Users\Дом\AppData\Local\Yandex\YandexBrowser\Application\browser.bat', '');
 DeleteFile('C:\Users\Дом\AppData\Local\Yandex\YandexBrowser\Application\browser.bat', '');
 DeleteFile('C:\Program Files\SFK\SSFK.exe', '32');
 DeleteFile('C:\Users\Дом\AppData\Roaming\netprotocol.exe', '32');
 DeleteFile('C:\Users\Дом\ms.exe', '32');
 DeleteFile('C:\Users\E786~1\AppData\Local\Temp\machineupdate32.exe', '32');
 DeleteFile('C:\Users\Дом\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUCFE-18OEF-TXXXT-ZTORA-TXZKR-RTROK.HTML', '32');
 DeleteFileMask('c:\program files\sfk', '*', true);
 DeleteDirectory('c:\program files\sfk');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Netprotocol','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\S9519253','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Debugger 32','command');
 DeleteService('SSFK');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(21);
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

27 января, 2017

KLAN-5712212935

guarantine.zip[KLAN-5712212935]

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
RUCFE-18OEF-TXXXT-ZTORA-TXZKR-RTROK.HTML
Yаndех.lnk
browser.bat

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Вот что получилось.

Здравствуйте, Sandor.

Простите, если сделала что то не так, я слабый, да еще не молодой по возрасту пользователь.

Очень надеюсь на вашу помощь еще и в расшифровке.

Жду ответа.

ClearLNK-27.01.2017_17-03.log

27 января, 2017

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt

Еще это, пожалуйста.

27 января, 2017

Хм...а у меня сформировался вот такой файл...

А еще через панель управления не удалились SpyHunter 4
YAC(Yet Another Cleaner!)

AdwCleanerS0.txt

28 января, 2017

у меня сформировался вот такой файл

Правильно. Буква "х" означает - любая цифра.

Далее:

1.

Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
- Политики IE
- Политики Chrome
  и нажмите Ok.
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

По электронной почте пришло письмо с шифровальщиком

Рекомендуемые сообщения

Чайник Тата

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Чайник Тата

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Чайник Тата

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum