Шифровальщик RSA-1024

11 февраля, 2017

Всем привет!

Недавно столкнулся с проблемой, с серьезной проблемой. Все началось с того, что пришло сообщение на почту:

Скриншоты:

Открыл дин из этих файлов и поехало, файлы типа (.pdf ; .doc ; .docx ; .ppt ; pptx ; .xcl ; .xclx и т.д.) все зашифровались, т.е. не могут открываться и просят выбрать кодировку Много где искал это, но нигде не нашел(

Через день запустил компьютер и вижу вот это:

Итак, вопрос: Что делать? Кто нибудь с этим сталкивался?

Очень важно решить проблему, т.к. компьютер содержит очень важные документы по работе

(ссылка на вирус в облаке)

Строгое предупреждение от модератора "Mark D. Pearlstone"

Не публикуйте вредоносные и потенциально вредоносные файлы, а также ссылки на них.

11 февраля, 2017

Порядок оформления запроса о помощи

11 февраля, 2017

Сообщение от модератора

При всем уважении, ознакомьтесь пожалуйста с правилами раздела, в частности с п. 2.1 и 2.2 правил раздела

Изменено 11 февраля, 2017 пользователем mike 1

13 февраля, 2017

Вот логи) Жду ответов...

CollectionLog-2017.02.13-16.00.zip

Изменено 13 февраля, 2017 пользователем Александр Кардашевский

13 февраля, 2017

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Advanced PC Care

Unity Web Player

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Магазин-01\pzsoub.exe', '');
 ExecuteRepair(1);
RebootWindows(false);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

15 февраля, 2017

Здравствуйте!Через Панель управления - Удаление программ - удалите нежелательное ПО:

Advanced PC CareUnity Web PlayerСлужба автоматического обновления программ
Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.Выполните скрипт в AVZ (Файл - Выполнить скрипт):
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Магазин-01\pzsoub.exe', '');
 ExecuteRepair(1);
RebootWindows(false);
end.
Компьютер перезагрузится.После перезагрузки, выполните такой скрипт:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN)Файл CheckBrowserLnk.logиз папки
...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK.Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.

Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.

Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Большое спасибо за ответ, у меня вопрос - данную операцию проводить на компьютере, в котором произошло шифрование файлов?

15 февраля, 2017

Вот логи) Жду ответов

Да. Ведь логи Вы собирали как раз на этом компьютере, верно?

16 февраля, 2017

Вот логи) Жду ответов
Да. Ведь логи Вы собирали как раз на этом компьютере, верно?

Хорошо, спасибо) Скоро отвечу)

4 марта, 2017

Здраствуйте еще раз! Все сделал как вы и сказали))

Вот что мне ответили из newvirus@kaspersky.com:

[KLAN-5914700386][/size]

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.[/size]

Антивирус Касперского проверил файлы.[/size]

Вредоносные программы не найдены в файлах:[/size]

pzsoub.exe[/size]

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.[/size]

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.[/size]

Антивирусная Лаборатория, Kaspersky Lab HQ[/size]

"Ленинградское шоссе 39A/3, Москва, 125212, Russia[/size]

Телефон/Факс: + 7 (495) 797 8700[/size]

http://www.kaspersky.com [/size]http://www.viruslist.com"[/size]

------------------------------[/size]------------------------------[/size]--------------------[/size]

From: [/size]

Sent: 3/4/2017 9:43:00 AM[/size]

To: [/size]newvirus@kaspersky.com

Subject: Шифровальщик RSA-1024[/size]

*[/size]https://forum.kasperskyclub.ru/index.php?showtopic=54431

<[/size]https://forum.kasperskyclub.ru/index.php?showtopic=54431>*[/size]

"Файл *quarantine.zip* из папки с распакованной утилитой AVZ отправьте[/size]

отправьте по адресу *[/size]newvirus@kaspersky.com <[/size]newvirus@kaspersky.com>"*[/size]

А также логи ClearLNK и отчет AdwCleaner приклепляю)))

Спасибо большое за поддержку, жду ваших сообщений)))

ClearLNK-04.03.2017_15-46.log

AdwCleanerS0.txt

4 марта, 2017

1.

Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
- Политики IE
- Политики Chrome
  и нажмите Ok.
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

11 марта, 2017

Еще раз здраствуйте, по вашим указаниям прилагаю файлы))

12 марта, 2017

1.

Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).

Нажмите кнопку "Scan" ("Сканировать").

По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:

Политики IE

Политики Chrome
и нажмите Ok.

Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.

Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

ой извините, забыл нажать "ответить") наверх уже отправил файлы)

12 марта, 2017

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR NewTab: Default -> "chrome-extension://aeembeejekghkopiabadonpmfpigojok/visual-bookmarks.html"
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B549C123D-9E25-40A9-8327-06CBE594FE58%7D&gp=789219
CHR DefaultSearchKeyword: Default -> mail.ru_
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
Task: {E60F7341-A974-4B99-B7DA-DE366637FD54} - System32\Tasks\Microsoft\Windows\SystemRestore\ProShopper => C:\Users\Магазин-01\AppData\Roaming\ProShopper\ProShopper.exe  <==== ATTENTION
AlternateDataStreams: C:\Users\Магазин-01\Local Settings:wa [146]
AlternateDataStreams: C:\Users\Магазин-01\AppData\Local:wa [146]
AlternateDataStreams: C:\Users\Магазин-01\AppData\Local\Application Data:wa [146]
HKU\S-1-5-21-373057336-1161621637-3162306417-1000\Software\Classes\.scr: scrfile =>  <===== ATTENTION
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

2 мая, 2017

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
start
CreateRestorePoint:
CHR NewTab: Default -> "chrome-extension://aeembeejekghkopiabadonpmfpigojok/visual-bookmarks.html"
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B549C123D-9E25-40A9-8327-06CBE594FE58%7D&gp=789219
CHR DefaultSearchKeyword: Default -> mail.ru_
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
Task: {E60F7341-A974-4B99-B7DA-DE366637FD54} - System32\Tasks\Microsoft\Windows\SystemRestore\ProShopper => C:\Users\Магазин-01\AppData\Roaming\ProShopper\ProShopper.exe  <==== ATTENTION
AlternateDataStreams: C:\Users\Магазин-01\Local Settings:wa [146]
AlternateDataStreams: C:\Users\Магазин-01\AppData\Local:wa [146]
AlternateDataStreams: C:\Users\Магазин-01\AppData\Local\Application Data:wa [146]
HKU\S-1-5-21-373057336-1161621637-3162306417-1000\Software\Classes\.scr: scrfile =>  <===== ATTENTION
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Приклепляю логи))

Fixlog.txt

3 мая, 2017

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Шифровальщик RSA-1024

Рекомендуемые сообщения

Александр Кардашевский

Mark D. Pearlstone

thyrex

Александр Кардашевский

Sandor

Александр Кардашевский

Sandor

Александр Кардашевский

Александр Кардашевский

Sandor

Александр Кардашевский

Александр Кардашевский

Sandor

Александр Кардашевский

Sandor

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum