Перейти к содержанию

Зашифрованы файлы no_more_ransom


Рекомендуемые сообщения

Здравствуйте!

Получили письмо из "налоговой" результат:

 
Bаши фaйлы былu зaшuфрoваны.
Чmобы раcшифpовaть uх, Baм нeобхoдимо отправuть код:
85D5519591BB6316321E|737|6|40
нa элeктpонный адрес lukyan.sazonov26@gmail.com .
Дaлеe вы полyчumе всe необxoдимые uнcmpyкцuи.
Пonытkи рaсшифровamь caмoсmoятeльнo не npuведуm нu k чeмy, кромe безвозврaтнoй пomерu инфopмaцuu.
Еслu вы вcё жe xотume nопытаmься, mo пpeдварuтельнo cдeлайте peзepвныe коnиu фaйлов, инaче в cлyчае
их измененuя рaсшuфpoвka cтaнeт нeвозможной нu nри каkux уcловuях.
...
помогите!!!

CollectionLog-2017.02.13-16.37.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\all users\application data\csrss\csrss.exe');
 TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
 TerminateProcessByName('c:\documents and settings\all users\application data\drivers\csrss.exe');
 TerminateProcessByName('c:\documents and settings\all users\application data\services\csrss.exe');
 QuarantineFile('c:\documents and settings\all users\application data\csrss\csrss.exe', '');
 QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe', '');
 QuarantineFile('c:\documents and settings\all users\application data\drivers\csrss.exe', '');
 QuarantineFile('c:\documents and settings\all users\application data\services\csrss.exe', '');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\services\A86B5C6747183B1C9BBB4181C53F302D.dll','');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\services\A86B5C6747183B1C9BBB4181C53F302D.dll','32');
 DeleteFile('c:\documents and settings\all users\application data\csrss\csrss.exe', '32');
 DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe', '32');
 DeleteFile('c:\documents and settings\all users\application data\drivers\csrss.exe', '32');
 DeleteFile('c:\documents and settings\all users\application data\services\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkSubsystem');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Session Manager');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

Kaspersky Anti-Virus 14

Зачем же Вы используете такую древнюю версию?
Ссылка на комментарий
Поделиться на другие сайты

[KLAN-5787035739]

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

В файлах найдены вредоносные программы
csrss.exe - Trojan.Win32.Agent.nevnwq
csrss_0.exe - Trojan.Win32.Fsysna.efnv
csrss_1.exe - HEUR:Trojan.Win32.Generic
csrss_2.exe - Trojan-Ransom.Win32.Agent.ivl

Вредоносные программы не найдены в файлах:
A86B5C6747183B1C9BBB4181C53F302D.dll

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.
 

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты

Включите Восстановление системы.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2017-02-09 19:07 - 2017-02-13 17:26 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\services
2017-02-09 19:07 - 2017-02-13 17:26 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Csrss
2017-02-09 19:07 - 2017-02-09 19:07 - 03932214 _____ C:\Documents and Settings\User-77\Application Data\5856FC135856FC13.bmp
2017-02-09 19:07 - 2017-02-09 19:07 - 00004190 _____ C:\Documents and Settings\User-77\Рабочий стол\README9.txt
2017-02-09 19:07 - 2017-02-09 19:07 - 00004190 _____ C:\Documents and Settings\User-77\Рабочий стол\README8.txt
2017-02-09 19:07 - 2017-02-09 19:07 - 00004190 _____ C:\Documents and Settings\User-77\Рабочий стол\README7.txt
2017-02-09 19:07 - 2017-02-09 19:07 - 00004190 _____ C:\Documents and Settings\User-77\Рабочий стол\README6.txt
2017-02-09 19:07 - 2017-02-09 19:07 - 00004190 _____ C:\Documents and Settings\User-77\Рабочий стол\README5.txt
2017-02-09 19:07 - 2017-02-09 19:07 - 00004190 _____ C:\Documents and Settings\User-77\Рабочий стол\README4.txt
2017-02-09 19:07 - 2017-02-09 19:07 - 00004190 _____ C:\Documents and Settings\User-77\Рабочий стол\README3.txt
2017-02-09 19:07 - 2017-02-09 19:07 - 00004190 _____ C:\Documents and Settings\User-77\Рабочий стол\README2.txt
2017-02-09 19:07 - 2017-02-09 19:07 - 00004190 _____ C:\Documents and Settings\User-77\Рабочий стол\README10.txt
2017-02-09 19:07 - 2017-02-09 19:07 - 00004190 _____ C:\Documents and Settings\User-77\Рабочий стол\README1.txt
2017-02-09 19:07 - 2017-02-09 19:07 - 00004190 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2017-02-09 19:07 - 2017-02-09 19:07 - 00004190 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2017-02-09 19:07 - 2017-02-09 19:07 - 00004190 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2017-02-09 19:07 - 2017-02-09 19:07 - 00004190 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2017-02-09 19:07 - 2017-02-09 19:07 - 00004190 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2017-02-09 19:07 - 2017-02-09 19:07 - 00004190 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2017-02-09 19:07 - 2017-02-09 19:07 - 00004190 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2017-02-09 19:07 - 2017-02-09 19:07 - 00004190 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2017-02-09 19:07 - 2017-02-09 19:07 - 00004190 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2017-02-09 19:07 - 2017-02-09 19:07 - 00004190 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2017-02-09 18:41 - 2017-02-09 19:07 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\System32
2017-02-09 18:40 - 2017-02-09 18:40 - 00004190 _____ C:\README9.txt
2017-02-09 18:40 - 2017-02-09 18:40 - 00004190 _____ C:\README8.txt
2017-02-09 18:40 - 2017-02-09 18:40 - 00004190 _____ C:\README7.txt
2017-02-09 18:40 - 2017-02-09 18:40 - 00004190 _____ C:\README6.txt
2017-02-09 18:40 - 2017-02-09 18:40 - 00004190 _____ C:\README5.txt
2017-02-09 18:40 - 2017-02-09 18:40 - 00004190 _____ C:\README4.txt
2017-02-09 18:40 - 2017-02-09 18:40 - 00004190 _____ C:\README3.txt
2017-02-09 18:40 - 2017-02-09 18:40 - 00004190 _____ C:\README2.txt
2017-02-09 18:40 - 2017-02-09 18:40 - 00004190 _____ C:\README10.txt
2017-02-09 18:40 - 2017-02-09 18:40 - 00004190 _____ C:\README1.txt
2017-02-09 18:29 - 2017-02-13 17:26 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • tamerlan
      Автор tamerlan
      Доброго дня. зашифровались все файлы в формат .danie 
      Волнует только расшифровать файл базы 1С, пото просто переустановлю систему и все. 
      Помогите пожалуйста.
    • Mep3aBEz
      Автор Mep3aBEz
      Добрый день!
      6 мая 2025 года зашифровались файлы.
      Как проник вирус неизвестно.
       
      Произошло:
      Ночью на виртуалку на Win10x64 с включенным RDP в папку c:\users\admin\music попал файл AD.exe
      На самой виртуалке ничего не зашифровалось, но два рабочих компьютера на Win11, которые были включены в тот момент зашифровались.
      Также не зашифровался ни один (из 5) рабочий сервер на виртуалках с WS2022.
      С зашифрованных компов была удалена система, поэтому лог анализа системы прикрепить не могу, файл шифровальщика тоже не сохранили.
       
       
       
      encrypt_files.zip
    • robocop1974
      Автор robocop1974
      Добрый день. Если есть возможность выяснить есть ли дешифратор?
      Система была переустановлена (но имеется клон, для анализа смогу без проблем предоставить логи Farbar Recovery Scan Tool, но к сожалению позже).
      В архиве несколько зашифрованных файлов.
      *.txt, *.html файлов для выкупа не было. Но была папка с названием "DontDeleteThisFolder" в ней лежал файл "enc". Файл так же в архиве.
       
      Пробовал некоторые дешифраторы с сайта Касперского и Крипто-шерифа, но к сожалению безуспешно.
       
      Заранее спасибо за уделенное время!
       
      files.zip
    • orbita06
      Автор orbita06
      легла вся сеть и 4 сервера вирус удален нужна программа дешифровальщика
    • MidgardS1
      Автор MidgardS1
      Привет! Столкнулись с таким же шифровальщиком. Подскажите, есть возможность расшифровать данные?
       
      Сообщение от модератора Mark D. Pearlstone Перенесено из темы.
×
×
  • Создать...