Перейти к содержанию

По электронной почте пришло письмо с шифровальщиком

Сергей Мануйлов

От Сергей Мануйлов
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Сергей Мануйлов Новичок

Сергей Мануйлов

Опубликовано
Опубликовано (изменено)

Пришло письмо с шифровальщиком. зашифрованы документы Офиса , картинки, PDF.

Вирус не успел все зашифровать.Писем никаких не обнаружено.файлы вируса прикрепляю . пароль123

образец зашифрованного файла.

и логи HijackThis.exe,FRST.exe,adwcleaner_6.042.exe

 

образец файла

 

образец файла

Addition.txt

AdwCleanerC0.txt

AdwCleanerS0.txt

FRST.txt

hijackthis.log

post-42986-0-50031800-1485504058_thumb.jpg

ПЕРЕЧЕНЬ-ДОКУМЕНТОВ-ДЛЯ-ПОЛУЧЕНИЯ-ГРЕЧЕСКОЙ-ВИЗЫ-ГРАЖДАНАМИ-РОССИИ.docx

Изменено пользователем Sandor
Убрал подозрительный файл
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\documents and settings\admin\0.5575855648820083.exe', '');
 DeleteFile('c:\documents and settings\admin\0.5575855648820083.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\explorer','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(10);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Сергей Мануйлов Новичок

Сергей Мануйлов

Опубликовано
  • Автор
Опубликовано

этот вирус удален еще года 4 назад , видимо хвост 

 

Re: "Выполняется запрос хэлпера [KLAN-5712112925]

 

От Вас получено письмо, не содержащее файлов.
Возможно, антивирус на почтовом сервере удалил Ваш файл как инфицированный.
 
Если Вы нам посылали файл, пожалуйста, заархивируйте файл с паролем infected и пришлите снова.
 
Вы также можете загрузить файлы на любой популярный файловый хостинг или FTP-сервер.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Включите Восстановление системы.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKU\S-1-5-21-602162358-1275210071-682003330-500\...\Winlogon: [Shell] c:\documents and settings\admin\0.5575855648820083.exe <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\.DEFAULT -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-602162358-1275210071-682003330-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
2017-01-26 11:07 - 2017-01-26 11:12 - 16131144 _____ () C:\Documents and Settings\Admin\Application Data\2752435927
2011-05-12 17:52 - 2013-05-30 16:45 - 0000672 _____ () C:\Documents and Settings\Admin\Application Data\ex_log.txt
2017-01-26 11:12 - 2017-01-26 11:12 - 0001088 ___RH () C:\Documents and Settings\Admin\Application Data\RU4B7-20RAA-GATFX-XFTEE-FTAKR-TAKEZ-ATKGZ.KEY
C:\Windows\Tasks\At2.job
C:\Windows\Tasks\At3.job
Task: C:\WINDOWS\Tasks\At2.job => C:\DOCUME~1\Admin\APPLIC~1\DealPly\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: C:\WINDOWS\Tasks\At3.job => C:\DOCUME~1\NETWOR~1\APPLIC~1\DealPly\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

При сохранении выберите кодировку Юникод!

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Кристина1983
      По электронной почте прислали вредоносный файл
      От Кристина1983
      Здравствуйте! Вчера по электронной почте пришел вредоносный файл, якобы Накладная.pdf, но файл был не PDF, просто маскировался. Письмо из почты удалила, при попытке почистить папку удаленные, через несколько секунд это удаленное письмо в удаленных восстанавливалось (почтовый клиент Thunderbird). Касперским проверила лог прилагаю, но в почтовом клиенте опять в удаленных было это письмо. Снова запустила утилиту Касперского с полной проверкой. Было проведено лечение с перезагрузкой.
      Прошу проверить остались ли вредоносные следы в системе? 
       
      Логи Kaspersky Virus Removal Tool Reports.rar
      Логи AutoLogger, после того как отработал Kaspersky Virus Removal Tool
      CollectionLog-2025.02.06-15.12.zip
    • Алексей Андронов
      Поймали по почте шифровальщик-вымогатель
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
    • KL FC Bot
      Простые советы для защиты от кражи паролей для электронной почты, соцсетей и сервисов госуслуг | Блог Касперского
      От KL FC Bot
      Когда вам предлагают войти в тот или иной онлайн-сервис, подтвердить свою личность или скачать документ по ссылке, обычно требуется ввести имя и пароль. Это привычная операция, и многие выполняют ее, не задумываясь. Но мошенники могут выманить ваш пароль от почты, сервисов госуслуг, банковских сервисов или соцсетей, сымитировав форму ввода логина-пароля известного сервиса на своем (постороннем) сайте. Не попадайтесь — пароль от почты может проверять только сам почтовый сервис и никто другой! То же касается госуслуг, банков и соцсетей.
      Чтобы не стать жертвой обмана, каждый раз при вводе пароля нужно на секунду задуматься и проверить, куда именно вы входите и что за окошко требует вводить данные. Здесь есть три основных варианта: два безопасных и один мошеннический. Вот они.
      Безопасные сценарии ввода пароля
      Вы входите в свои почту, соцсеть или онлайн-сервис через их собственный сайт. Это самый простой вариант, но нужно убедиться, что вы действительно заходите на легитимный сайт и в его адресе нет никакой ошибки. Если вы заходите в онлайн-сервис, нажав на ссылку в присланном вам сообщении или перейдя по ссылке из результатов поиска, перед вводом пароля внимательно сверьте адрес сайта с названием требуемого сервиса. Почему так важно потратить лишнюю секунду на проверку? Создание фишинговых копий легитимных сайтов — любимый прием мошенников. Адрес фишингового сайта может быть очень похожим на оригинальный, но отличаться от него на одну или несколько букв в названии или располагаться в другой доменной зоне — например, в фишинговом адресе вместо буквы «i» может стоять «l».
      А уж сделать ссылку, выводящую совсем не туда, куда написано, и вовсе несложно. Проверьте сами: вот эта ссылка якобы на наш блог kaspersky.ru/blog выводит на другой наш блог — securelist.ru.
      На рисунке ниже — примеры оригинальных страниц входа на разные сервисы, на которых можно смело вводить имя и пароль от этого сервиса.
      Примеры легитимных страниц входа на разные сервисы. Вводить имя и пароль на них безопасно
      Вы входите на сайт при помощи вспомогательного сервиса. Это — вариант для удобного входа без создания лишних паролей: так часто заходят в программы для хранения файлов, совместной работы и так далее. В роли вспомогательного сервиса обычно выступают большие провайдеры почты, соцсетей или государственных услуг. Кнопка входа называется «Вход через Госуслуги», «Войти с VK ID», «Sign in with Google», «Continue with Apple» и так далее.  
      View the full article
    • Galymzhan
      зашифровали файлы, оставили почту platishilidrocish@fear.pw
      От Galymzhan
      На комп зашли через RD и зашифровали файлы, оставили почту platishilidrocish@fear.pw для расшифровки требуют плату, требования и шифрованные файлы закрепил
      FRST.zip Требования.zip зашифрованные файлы.zip
    • Thunderer
      Шифровальщик
      От Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
×
×
  • Создать...