Изменился тип файлов

[ruslanz]

Добрый день! Сегодня с утра столкнулся с такой проблемой, скачал неизвестный софт, запустил его и он поменял все мои файлы. Я так понимаю это - шифровальшик поработал. Как можно решить эту проблему? Спасибо!

 

Прикрепляю лог сканирования, так как Вы просите + добавил скрин свойств измененного файла

CollectionLog-2017.03.09-12.27.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\Руслан\desktop\8ttaefsq.exe');
 QuarantineFile('c:\users\Руслан\desktop\8ttaefsq.exe','');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

Пере сбором логов, как и указано в инструкции, отключите (выгрузите) запущенные программы.

[ruslanz]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\Руслан\desktop\8ttaefsq.exe');
 QuarantineFile('c:\users\Руслан\desktop\8ttaefsq.exe','');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

Пере сбором логов, как и указано в инструкции, отключите (выгрузите) запущенные программы.

 

Подскажите, а если файл quarantine.zip не открывается и весит 0 мб, это нормально? Можно его отсылать в Ваш саппорт?

[Sandor]

Не нужно, значит ничего не попало. Делайте повторный лог.

[thyrex]

+ образцы зашифрованных doc или docx файлов заархивируйте и пришлите. Вымогатели оставили после себя какое-то сообщение? Его тоже пришлите.

Софт, который запустили перед шифрованием, сохранился?

[ruslanz]

+ образцы зашифрованных doc или docx файлов заархивируйте и пришлите. Вымогатели оставили после себя какое-то сообщение? Его тоже пришлите.

Софт, который запустили перед шифрованием, сохранился?

Я извиняюсь за  то, что "туплю", но у меня всё равно получается пустой архив quarantine, вроде бы всё верно делаю. После проверки лог пишет, что всё нормально, мол никаких вирусов нет, а на самом деле эта гадость переименовала почти все рабочие файлы (word, excel, ярлыки. txt).

 

Попробую по максимуму дать Вам информацию.

Вот скрин после Лога, пишет мол нет вирусов

https://gyazo.com/579fcf79b6e9561b5736ae6cc3f6e56d

Потом запускаю скрипт, комп перезагружается и архив получается пустой (или поврежденный)

 

Прикрепляю архив, в нем пара зашифрованных файлов (docx, csv, ярлык) и текстовый файл от вымогателей (он распространился по всему компу)

Так же скидываю ссылку на архив с софтом (он весит 7мб, а у Вас максимум можно залить 5.) - https://www.sendspace.com/file/vuv9rl

 

P.S Такое вообще лечится?

Спасибо

Файлы на проверку.rar

[Sandor]

Потом запускаю скрипт

Повторять первый скрипт больше не нужно.

 

Повторите CollectionLog (как в первом Вашем сообщении).

 

Затем:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[ruslanz]

Сделал, три файла прикрепил 

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Прикрепляю архив, в нем пара зашифрованных файлов (docx, csv, ярлык)

Размеры файлов нулевые. Поищите не нулевые, запакуйте и прикрепите.

[ruslanz]

 

Прикрепляю архив, в нем пара зашифрованных файлов (docx, csv, ярлык)

Размеры файлов нулевые. Поищите не нулевые, запакуйте и прикрепите.

 

Добавил не нулевые. А как же тогда быть с нулевыми? Их у меня тоже не мало зашифровалось...

 

 

docx.rar

Изменено 9 марта, 2017 пользователем ruslanz

[thyrex]

У меня печальные новости - эти недоумки с почтой, указанной в сообщении для связи, использовали для шифрования простую логическую операцию OR каждого байта файла с числом 1. Получить идентичную копию файла до шифрования для большинства типов файлов невозможно. И это не смогут сделать даже сами злодеи, а потому не платите им за расшифровку.

[ruslanz]

У меня печальные новости - эти недоумки с почтой, указанной в сообщении для связи, использовали для шифрования простую логическую операцию OR каждого байта файла с числом 1. Получить идентичную копию файла до шифрования для большинства типов файлов невозможно. И это не смогут сделать даже сами злодеи, а потому не платите им за расшифровку.

То есть файлы уже не вернуть?

Да и платить я им точно не собирался...

[thyrex]

Даже после расшифровки, которую я с легкостью могу написать, большинство файлов при открытии будет выдавать ошибку. Недавно была тема с другим шифровальщиком с этой почтой для связи. Там ситуация была подобно Вашей и тоже файлы не подлежали восстановлению, да еще и меня мошенником назвали в своем сообщении для связи )

[ruslanz]

Даже после расшифровки, которую я с легкостью могу написать, большинство файлов при открытии будет выдавать ошибку. Недавно была тема с другим шифровальщиком с этой почтой для связи. Там ситуация была подобно Вашей и тоже файлы не подлежали восстановлению, да еще и меня мошенником назвали в своем сообщении для связи )

Ладно, будет наукой. А Вам большое спасибо, хорошее дело делаете)) Удачи!

[Sandor]

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.