Шифровальщик RSA-1024

[Александр Кардашевский]

Всем привет! 

Недавно столкнулся с проблемой, с серьезной проблемой. Все началось с того, что пришло сообщение на почту:

 

Скриншоты:

 

 

Открыл дин из этих файлов и поехало, файлы типа (.pdf ; .doc ; .docx ; .ppt ; pptx ; .xcl ; .xclx и т.д.) все зашифровались, т.е. не могут открываться и просят выбрать кодировку    Много где искал это, но нигде не нашел(

Через день запустил компьютер и вижу вот это:

 

 

 

 

 

 

 

Итак, вопрос: Что делать? Кто нибудь с этим сталкивался? 

Очень важно решить проблему, т.к. компьютер содержит очень важные документы по работе

 

(ссылка на вирус в облаке)

 

Строгое предупреждение от модератора "Mark D. Pearlstone"

Не публикуйте вредоносные и потенциально вредоносные файлы, а также ссылки на них.

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[thyrex]

Сообщение от модератора

При всем уважении, ознакомьтесь пожалуйста с правилами раздела, в частности с п. 2.1 и 2.2 правил раздела

Изменено 11 февраля, 2017 пользователем mike 1

[Александр Кардашевский]

Вот логи) Жду ответов...

 

CollectionLog-2017.02.13-16.00.zip

Изменено 13 февраля, 2017 пользователем Александр Кардашевский

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Advanced PC Care

Unity Web Player

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Магазин-01\pzsoub.exe', '');
 ExecuteRepair(1);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Александр Кардашевский]

Здравствуйте!Через Панель управления - Удаление программ - удалите нежелательное ПО:

Advanced PC CareUnity Web PlayerСлужба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Магазин-01\pzsoub.exe', '');
 ExecuteRepair(1);
RebootWindows(false);
end.

Компьютер перезагрузится.После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN)Файл CheckBrowserLnk.logиз папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Большое спасибо за ответ, у меня вопрос - данную операцию проводить на компьютере, в котором произошло шифрование файлов?

[Sandor]

Вот логи) Жду ответов

Да. Ведь логи Вы собирали как раз на этом компьютере, верно?

[Александр Кардашевский]

 

Вот логи) Жду ответов

Да. Ведь логи Вы собирали как раз на этом компьютере, верно?

Хорошо, спасибо) Скоро отвечу)

[Александр Кардашевский]

Здраствуйте еще раз! Все сделал как вы и сказали)) 

Вот что мне ответили из newvirus@kaspersky.com: 

 

[KLAN-5914700386][/size]

 

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.[/size]

 

Антивирус Касперского проверил файлы.[/size]

 

Вредоносные программы не найдены в файлах:[/size]

pzsoub.exe[/size]

 

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.[/size]

 

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.[/size]

Антивирусная Лаборатория, Kaspersky Lab HQ[/size]

 

"Ленинградское шоссе 39A/3, Москва, 125212, Russia[/size]

Телефон/Факс: + 7 (495) 797 8700[/size]

http://www.kaspersky.com [/size]http://www.viruslist.com"[/size]

 

------------------------------[/size]------------------------------[/size]--------------------[/size]

From: [/size]

Sent: 3/4/2017 9:43:00 AM[/size]

To: [/size]newvirus@kaspersky.com

Subject: Шифровальщик RSA-1024[/size]

*[/size]https://forum.kasperskyclub.ru/index.php?showtopic=54431

<[/size]https://forum.kasperskyclub.ru/index.php?showtopic=54431>*[/size]

"Файл *quarantine.zip* из папки с распакованной утилитой AVZ отправьте[/size]

отправьте по адресу *[/size]newvirus@kaspersky.com <[/size]newvirus@kaspersky.com>"*[/size]

 

А также логи ClearLNK и отчет AdwCleaner приклепляю)))

Спасибо большое за поддержку, жду ваших сообщений)))

ClearLNK-04.03.2017_15-46.log

AdwCleanerS0.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Александр Кардашевский]

Еще раз здраствуйте, по вашим указаниям прилагаю файлы))

Addition.txt

FRST.txt

Shortcut.txt

AdwCleanerS1.txt

[Александр Кардашевский]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

ой извините, забыл нажать "ответить") наверх уже отправил файлы)

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR NewTab: Default -> "chrome-extension://aeembeejekghkopiabadonpmfpigojok/visual-bookmarks.html"
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B549C123D-9E25-40A9-8327-06CBE594FE58%7D&gp=789219
CHR DefaultSearchKeyword: Default -> mail.ru_
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
Task: {E60F7341-A974-4B99-B7DA-DE366637FD54} - System32\Tasks\Microsoft\Windows\SystemRestore\ProShopper => C:\Users\Магазин-01\AppData\Roaming\ProShopper\ProShopper.exe  <==== ATTENTION
AlternateDataStreams: C:\Users\Магазин-01\Local Settings:wa [146]
AlternateDataStreams: C:\Users\Магазин-01\AppData\Local:wa [146]
AlternateDataStreams: C:\Users\Магазин-01\AppData\Local\Application Data:wa [146]
HKU\S-1-5-21-373057336-1161621637-3162306417-1000\Software\Classes\.scr: scrfile =>  <===== ATTENTION
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Александр Кардашевский]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR NewTab: Default -> "chrome-extension://aeembeejekghkopiabadonpmfpigojok/visual-bookmarks.html"
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B549C123D-9E25-40A9-8327-06CBE594FE58%7D&gp=789219
CHR DefaultSearchKeyword: Default -> mail.ru_
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
Task: {E60F7341-A974-4B99-B7DA-DE366637FD54} - System32\Tasks\Microsoft\Windows\SystemRestore\ProShopper => C:\Users\Магазин-01\AppData\Roaming\ProShopper\ProShopper.exe  <==== ATTENTION
AlternateDataStreams: C:\Users\Магазин-01\Local Settings:wa [146]
AlternateDataStreams: C:\Users\Магазин-01\AppData\Local:wa [146]
AlternateDataStreams: C:\Users\Магазин-01\AppData\Local\Application Data:wa [146]
HKU\S-1-5-21-373057336-1161621637-3162306417-1000\Software\Classes\.scr: scrfile =>  <===== ATTENTION
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Приклепляю логи))

Fixlog.txt

[Sandor]

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.