Перейти к содержанию

Шифровальшик likilock@india.com.

tresh
 Share

Рекомендуемые сообщения

tresh Новичок

tresh

Опубликовано
Опубликовано

Добрый вечер. На диске D: была база 1С возможно, какие-то еще файлы (они не так важны). Теперь: диск D: пуст (r-studio ничего не находит), на диске C: "D - likilock@india.com.7z.001", "D_2 - likilock@india.com.7z.001", шифрованы. Вируса в системе нет.


Кстати, KIS на компе, лицензионный с актуальными базами...

CollectionLog-2017.01.28-23.07.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\program files (x86)\dpower', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\hdtask', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\ProgramData\CloudPrinter\CloudPrinter.exe', '');
 QuarantineFile('C:\Program Files (x86)\599B08E2-1474267817-58F2-AE7E-08606E7DF8B6\knsf99D3.tmpfs', '');
 QuarantineFile('C:\Program Files (x86)\DPower\DiskPower.exe', '');
 QuarantineFile('C:\ProgramData\hdtask\hdtask.exe', '');
 QuarantineFile('C:\Users\000000\AppData\Local\Temp\is-C0L4O.tmp\51490.exe', '');
 QuarantineFile('C:\Users\000000\AppData\Local\Temp\00031485\msiql.exe', '');
 QuarantineFile('C:\ProgramData\AppgnielbuoD\RanTamlax.dll','');
 QuarantineFile('C:\ProgramData\AppgnielbuoD\Ran-Is.dll','');
 ExecuteFile('schtasks.exe', '/delete /TN "svchost" /F', 0, 15000, true);
 DeleteFile('C:\ProgramData\AppgnielbuoD\Ran-Is.dll','32');
 DeleteFile('C:\ProgramData\AppgnielbuoD\RanTamlax.dll','32');
 DeleteFile('C:\ProgramData\CloudPrinter\CloudPrinter.exe', '32');
 DeleteFile('C:\Program Files (x86)\599B08E2-1474267817-58F2-AE7E-08606E7DF8B6\knsf99D3.tmpfs', '32');
 DeleteFile('C:\Program Files (x86)\DPower\DiskPower.exe', '32');
 DeleteFile('C:\ProgramData\hdtask\hdtask.exe', '32');
 DeleteFile('C:\Users\000000\AppData\Local\Temp\is-C0L4O.tmp\51490.exe', '32');
 DeleteFile('C:\Users\000000\AppData\Local\Temp\00031485\msiql.exe', '32');
 DeleteFileMask('c:\program files (x86)\dpower', '*', true);
 DeleteFileMask('c:\programdata\hdtask', '*', true);
 DeleteDirectory('c:\program files (x86)\dpower');
 DeleteDirectory('c:\programdata\hdtask');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DiskPower','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\hdtask','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IconRunner','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Installer','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\msiql','command');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 DeleteService('CloudPrinter');
 DeleteService('xytekyby');
ExecuteSysClean;
 ExecuteRepair(13);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Синтезит
      ШИФРОВАЛЬШИК datastore@cyberfear.com
      От Синтезит
      Здравствуйте, помогите пожалуйста расшифровать.
      Ссылка на зашифрованные файлы от платформы 1с
      https://dropmefiles.com/8aGW7 пароль 0uJxTd
       
      Чистые файлы из архива Windows
      https://dropmefiles.com/PzSaC пароль ecUlCq
      Addition.txt FRST.txt
    • RusLine
      Помогите нарвался на шифровальшика.
      От RusLine
      Здравствуйте помогите чем сможете. Скачал с nnmclub total commander попользовался а утром зашифровало все фото файлы важные. Подскажите что делать ?
        



    • R3DSTALK3R
      ШИФРОВАЛЬШИК datastore@cyberfear.com
      От R3DSTALK3R
      Наш компьютер, где был установлен сервер 1C, заразился вирусом шифровальщиком-вымогателем. Первое что сделал вирус – сменил пароль для учётной записи администратора. Так же он зашифровал все файлы ключом ThnzSOMKAAKZ7v7OV4MX-cwAzeoX0aWrzJmrPnXwamk*datastore@cyberfear.com-ThnzSOMKAAKZ7v7OV4MX-cwAzeoX0aWrzJmrPnXwamk (как сказано в послании от вымогателя), которые больше 8,5 мб.
      Очень надеемся, что сможете помочь решить нашу проблему.
      https://dropmefiles.com/DUXr9 ссылка на шифрованные файлы
      Addition.txt Shortcut.txt FRST.txt README.txt
    • Timur Swimmer
      ШИФРОВАЛЬШИК datastore@cyberfear.com
      От Timur Swimmer
      Здравствуйте.
      Наш компьютер, где был установлен сервер 1C, заразился вирусом шифровальщиком-вымогателем. Первое что сделал вирус – сменил пароль для учётной записи администратора. Так же он зашифровал все файлы ключом RSA4096 (как сказано в послании от вымогателя), которые больше 8,5 мб. У всех файлов больше 8,5 мб изменили расширение на datastore@cyberfear.com-WuqqAQ9reBWcAtfXZgxTUsAfCnUmDrqmJgKmH-4JJ0g .
      По ссылке можно скачать несколько зашифрованных файлов для примера, в папке Original файлы, как они выглядели до шифрования и письмо от мошенников.
      ссылка на диск
      Очень надеемся, что сможете помочь решить нашу проблему.
    • Samoxval
      Поймали шифровальшика файлы с расширением .nigra
      От Samoxval
      Поймали шифровальщик. Расширение .nigra
      Скорее всего по рдп, сам вирус не нашли.
      Установили новый диск и на него накатили чистую виндовс, старые 2 диска осталис подключены как второстепенные, систему на них не трогали.
      Если есть возможность нам спасти файлы (несколько из них приложил) за месяц. Тоесть это файлы кассовой смены 1 файл= 1 кассовая смена. Более нам ничего не требуется с этих дисков. Либо база sql там эти все смены хранятся.
      Зашифрованые файлы.rar
      Первоначальное расширение файлов .udb
       
×
×
  • Создать...