Перейти к содержанию

Шифровалльщик файлов Novikov.Vavila@gmail.com

alex_murom
 Share

Рекомендуемые сообщения

alex_murom Новичок

alex_murom

Опубликовано
Опубликовано

Доброго времени спасатели! Попалась на уловку и все файлы Word Excel Jpg avi  Зашифровались с именами:

*.no_more_ransom

 

Пока расследование как вирус попал на ПК результатов не дали т.к. работница-террорист " - ни чего не делала и ни чего не нажимала"

 

txt-шка с предупреждением в приложении....

 

Заранее благодарен за Ваш труд.

CollectionLog-2017.02.27-20.55.zip

README1.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\татьяна\appdata\local\microsoft\extensions', '*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files (x86)\A0FBED93-1445247226-E111-AB24-8C0BBE722CA2\knseEB81.tmp', '');
 QuarantineFile('C:\Users\Татьяна\AppData\Local\Microsoft\Extensions\extsetup.exe', '');
 QuarantineFile('C:\Users\Татьяна\AppData\Local\Microsoft\73BAA1A5BD65541E3BF46BD35694FC1C\0C3D542EA0681D221E5067C67C5EF66D.exe', '');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "AD4000014-EDAF-4223-9E37-844CA56C7BFC" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\5EF66DC76C7605E122D1860AE20C3D54" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\5EF66DC76C7605E122D1860AE20C3D54SB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\extsetupSB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\5EF66DC76C7605E122D1860AE20C3D54" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\5EF66DC76C7605E122D1860AE20C3D54SB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\extsetupSB" /F', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\A0FBED93-1445247226-E111-AB24-8C0BBE722CA2\knseEB81.tmp', '32');
 DeleteFile('C:\Users\Татьяна\AppData\Local\Microsoft\Extensions\extsetup.exe', '32');
 DeleteFile('C:\Users\Татьяна\AppData\Local\Microsoft\73BAA1A5BD65541E3BF46BD35694FC1C\0C3D542EA0681D221E5067C67C5EF66D.exe', '32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFileMask('c:\users\татьяна\appdata\local\microsoft\extensions', '*', true);
 DeleteFileMask('c:\programdata\krb updater utility', '*', true);
 DeleteFileMask('c:\program files (x86)\kinoroom browser', '*', true);
 DeleteDirectory('c:\programdata\krb updater utility');
 DeleteDirectory('c:\program files (x86)\kinoroom browser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','extsetupSB');
 DeleteService('qevowufo');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Kolivan
      Расшифровка .crypted000007
      От Kolivan
      Доброго времени суток!
      Обратился знакомый, подхвативший САБЖ.
      Удалить вирь проблемы не составило, но с расшифровкой перепробовал всё.
      В дополнение к написанному в сети скажу изложу следующее.
      1. Вирус не создаёт зашифрованный файл, а затем удаляет оригинал, он просто изменяет сам оригинальный файл;
      2. Заражённый файл на несколько байт тяжелее оригинального.
       
      Прикладываю пример заражённого и оригинального файла, а также логи FRST
       
      Если требуется что-то ещё - буду рад содействовать.
      Очень надеюсь на вашу помощь.
       
       
      files.rar
    • kostjadja
      Novikov.Vavila@gmail.com
      От kostjadja
      Прислали файл по почте 0312196Akt.gz  после попытки открытия зашифровались документы и создались текстовые файлы README1-...txt  с содержанием 
       
    • NikolaiPechka
      Шифровальщик crypted000007
      От NikolaiPechka
      Добрый день! Поймали шифровальщика из письма novikov.vavila@gmail.com Зашифровал все картинки, фото и видео и т.д.. Файлы стали с расширением .crypted000007. В Созданном им блокноте написано
      Baшu файлы былu зaшuфровaны.
      Чтобы раcшuфpoвamь их, Вaм нeобхoдимо oтпpaвиmь код: 1B22F21BDAF2ACFC4794|0 нa электpoнный адреc Novikov.Vavila@gmail.com . Дaлee вы nолучиme вcе нeобходuмые uнсmрykциu. Поnыткu pасшuфpовaть cамоcmoятельно не привeдyт нu k чемy, кромe безвoзвpаmной пoтерu uнфopмациu. Еcли вы всё же xomuтe noпыmaтьcя, mo пpедварительнo cделайтe pезервныe копиu файлов, инaче в cлyчаe uх uзменeнuя расшифpoвkа сmанет нeвозмoжной нu пpu кaкuх ycлoвиях. Еслu вы не nолучuлu oтвema no вышеyказанному адреcу в тeченuе 48 часов (u mолько в этом слyчae!), воспользуйтеcь фoрмoй обрaтной cвязu. Это можно cделать двумя cпоcoбaми: 1) Ckaчaйтe u уcтaновuтe Tor Browser пo ссылke: https://www.torproject.org/download/download-easy.html.en В адpесной cтpоkе Tor Browser-a введиmе адрec: http://cryptsen7fo43rr6.onion/ и нажмuтe Enter. 3аrpузится сmрaнuцa c формой oбраmной cвязи. 2) В любoм бpаузере neрейдитe nо oдному uз адpeсoв: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/    
      Сразу прикрепляю отчет Farbar как в похожей теме, вдруг понадобится.
      CollectionLog-2017.07.14-12.12.zip
      FRST64.zip
    • priest1985
      *.crypted000007
      От priest1985
      Вирус с расширением crypted000007
      Достался зараженный диск. 
      Подключил к другому ПК, загрузился с alkida.
      логи программы uvs прилагаю, также пара зараженных файлов.
      Спасибо.
      SECRETAR_2017-07-06_15-25-21.7z
      !!!.7z
    • lef17
      Crypted000007
      От lef17
      Добрый день! Поймали шифровальщика из письма novikov.vavila@gmail.com Зашифровал все - файлы стали с расширением .crypted000007.
      На рабочем столе надпись "Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности в файле README.TXT"
       Что делать? Новый ноутбук, стоит Win8 и McAffe
       
      Не удается прикрепить Файл README.TXT, его содержание:
      Ваши фaйлы былu зaшифровaны.
      Чmoбы рaсшuфpoваmь uх, Bам неoбxодимо отnрaвuть kод:
      CA4F8718BAE27766527A|0
      нa элekmронный aдpec Novikov.Vavila@gmail.com .
      Далеe вы получите вcе необxодимые uнcтpyкцuи.
      Пoпыmkи раcшифpoвamь caмocmoятeльнo не пpuведyт ни k чeму, кроме безвoзвpaтнoй nоmeрu инфopмaциu.
      Еслu вы вcё же xoтиme пonыmаmься, тo npедвaрumельнo сделaйme pезepвныe konиu файлoв, инaче в случае
      их uзмененuя pacшuфровка сmaнеm невозмoжнoй ни при кaкuх уcлoвuях.
      Eсли вы не nолyчили отвeта пo вышeуказaнному aдpеcy в mеченuе 48 чacов (u толькo в этом cлyчаe!),
      вocпoльзуйтecь фоpмой oбpaтной cвязи. Это мoжнo cдeлamь двумя способaмu:
      1) Скачайme u ycтанoвuтe Tor Browser no сcылkе: https://www.torproject.org/download/download-easy.html.en
      B адреcнoй стpокe Tor Browser-а ввeдиme адpес:
      http://cryptsen7fo43rr6.onion/
      u нажмиmе Enter. 3arрyзиmся стрaница c фopмой oбрamнoй связи.
      2) B любoм бpаyзере nеpейдume пo oднoму из aдpесов:
      http://cryptsen7fo43rr6.onion.to/
      http://cryptsen7fo43rr6.onion.cab/


      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      CA4F8718BAE27766527A|0
      to e-mail address Novikov.Vavila@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
      If you still want to try to decrypt them by yourself please make a backup at first because
      the decryption will become impossible in case of any changes inside the files.
      If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
      use the feedback form. You can do it by two ways:
      1) Download Tor Browser from here:
      https://www.torproject.org/download/download-easy.html.en
      Install it and type the following address into the address bar:
      http://cryptsen7fo43rr6.onion/
      Press Enter and then the page with feedback form will be loaded.
      2) Go to the one of the following addresses in any browser:
      http://cryptsen7fo43rr6.onion.to/
      http://cryptsen7fo43rr6.onion.cab/
×
×
  • Создать...