Перейти к содержанию

Поймал шифровальщик. Он своё "грязное" дело сделал. :(

do6pbiu
 Share

Рекомендуемые сообщения

do6pbiu Новичок

do6pbiu

Опубликовано
Опубликовано

Здравствуйте!

 

Собственно, проблема из названия темы. Свою миссию по шифрованию файлов шифровальщик сделал на "отлично".  Файлы стали с расширением ".no_more_ransom".

 
Зараженный компьютер полечил через Kaspersky Rescuue Disk.
 

CollectionLog-2017.03.13-09.05.zip

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.



 

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Знакома ли Вам?
 

C:\windows\UC.PIF
C:\windows\RAR.PIF
C:\windows\PKZIP.PIF
C:\windows\PKUNZIP.PIF
C:\windows\LHA.PIF
C:\windows\ARJ.PIF
  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jkfblcbjfojmgagikhldeppgmgdpjkpl] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni] - hxxp://clients2.google.com/service/update2/crx
File: C:\windows\UC.PIF
File: C:\windows\RAR.PIF
File: C:\windows\PKZIP.PIF
File: C:\windows\PKUNZIP.PIF
File: C:\windows\LHA.PIF
File: C:\windows\ARJ.PIF
2017-03-09 16:16 - 2017-03-10 17:01 - 00000000 __SHD C:\Users\Все пользователи\services
2017-03-09 16:16 - 2017-03-10 17:01 - 00000000 __SHD C:\ProgramData\services
2017-03-09 15:31 - 2017-03-10 16:58 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-03-09 15:31 - 2017-03-10 16:58 - 00000000 __SHD C:\ProgramData\Windows
2013-12-20 11:03 - 2013-12-20 11:08 - 17838984 _____ (Adobe Systems Incorporated) C:\Users\1\AppData\Local\Temp\fp_pl_pfs_installer.exe
2010-03-16 09:58 - 2010-03-16 09:58 - 0149352 ____R (Microsoft Corporation) C:\Users\1\AppData\Local\Temp\ose00000.exe
2013-06-10 08:58 - 2013-06-10 08:58 - 0003072 ____H () C:\Users\1\AppData\Local\Temp\runprog.exe
2011-06-21 08:42 - 2011-06-21 08:42 - 0455600 ____R (Macrovision Corporation) C:\Users\1\AppData\Local\Temp\_isFC96.exe
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
do6pbiu Новичок

do6pbiu

Опубликовано
  • Автор
Опубликовано

 

Знакома ли Вам?

 

C:\windows\UC.PIF
C:\windows\RAR.PIF
C:\windows\PKZIP.PIF
C:\windows\PKUNZIP.PIF
C:\windows\LHA.PIF
C:\windows\ARJ.PIF

Файлы не знакомы. Удалил.

 

Сделано.

Лог прилагаю.

fixlist.txt

Ссылка на комментарий
Поделиться на другие сайты
do6pbiu Новичок

do6pbiu

Опубликовано
  • Автор
Опубликовано

Если есть лицензия на продукты Kaspersky Lab, то пробуйте https://forum.kasperskyclub.ru/index.php?showtopic=48525

 

Спасибо. Эта ссылка, как я понял, касается момента дешифрования файлов?

А что говорят логи? Компьютер вылечен?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • IrinaC
      Поймали шифровальщика
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • BORIS59
      Поймал шифровальщика вымогателя.
      От BORIS59
      Доброго времечка поймал шифровальщик, система не переустанавливалась.
      Зашифровали файлы (WANNACASH NCOV v170720), требуют выкуп!
      Попался на поиске ключей ESET, в 2020г. Обращался в ESET про пудрили
      мозг и смылись. Приложил скрин kvrt сделан сразу после шифровки.
      Подскажите, пожалуйста, возможно восстановить?

      Farbar Recovery Scan Tool.zip Файлы с требованиями злоумышленников.zip Зашифрованные файлы.zip
    • yarosvent
      поймали шифровальщика
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • LeraB
      Поймали шифровальщика на несколько серверов
      От LeraB
      Приветствую.
      Поймали шифровальщика, который работает до сих.
      Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
      Все, что можно спасти, копируем.
      Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
      Шифровальщик затронул большинство нужных файлов, но не все.
      Логи собрали с одного сервера, примеры файлов с него же.
      Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024
      FRST.txt Addition.txt архив.zip
    • Алексей Андронов
      Поймали по почте шифровальщик-вымогатель
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
×
×
  • Создать...