Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Неизвестный вирус-шифровальщик

Avagabond
 Поделиться

Рекомендуемые сообщения

Avagabond

Avagabond

Опубликовано
Опубликовано

Здравствуйте. Наша организация пользуется Вашим антивирусом, но, к сожалению, не на всех ПК - на некоторых стоит пока бесплатная версия антивируса Avast.

Сегодня на ПК с Avast-ом, где сидит наша сотрудница бухгалтер-делопроизводитель, пришло письмо

 

(ВНИМАНИЕ - В ПИСЬМЕ ВРЕДОНОСНАЯ ССЫЛКА!):

 

**************************************************************************************************************************

**************************************************************************************************************************

отправитель:  Владимир Прохоров

адрес отправителя:    ucl@jti.ru

 

текст письма:

 

Здравствуйте!

Отправлю исправленный счет. Документ во вложении или на сайте компании. [удалено]

 

Валентин Прохоров

 

**************************************************************************************************************************

 

Видно, что реально ссылка (вредоносная!!!) вот такая:    [удалено]

 

 

**************************************************************************************************************************

**************************************************************************************************************************

 

на моем ПК, где установлен Kaspersky Internet Security, сайт блокируется, выходит сообщение:

 

Запрашиваемый веб-адрес не может быть предоставлен

 

Веб-адрес объекта:

 

[удалено]

 

Причина:

 

объект заражен HEUR:Trojan.Script.Generic

 

**************************************************************************************************************************

 

Но на ПК с Avast-ом сайт открылся, вирус проник, видимо, он установил на комп неведомый вирус-шифровальщик,

и все рабочие файлы и архивы нашей сотрудницы (документы, базы 1С) оказались зашифрованы к вечеру

(И всё это произошло стремительно - сегодня, с 13 до 16 часов !)

 

Я остался на работе, стал чистить её ПК, но свежескачанная с Вашего сайта программа:  Kaspersky Virus Removal Tool (KVRT, базы от 09.03.2017)

ничего не нашла - ни при загрузке в безопасном режиме Windows, ни в обычном (просканировал весь диск C, другие диски не успел).

Пишет - никаких угроз не обнаружено.

Та же ситуация на сей час и со свежескаченным DrWeb CurreIt - никаких угроз не обнаружено.

 

При этом все её рабочие файлы зашифрованы, на рабочем экране на черном фоне виднеется зловещая надпись, которая повторяется

в куче README.TXT файлах, созданных на всех дисках, с таким вот содержанием:

 

********************************************

 

Вaши фaйлы были зaшuфpoвaны.

Чmобы pacшuфрoваmь иx, Baм неoбxoдимo oтпpaвumь код:

9DF15DD74E2A42DFB35F|0

нa элeкmронный адpеc yvonne.vancese1982@gmail.com .

Далее вы получumе вce нeoбходимые uнстрykцuи.

Пonытки раcшифровать cамоcmояmельно нe npuвeдут нu k чему, кpоме безвoзвpaтной noтeри инфоpмациu.

Ecлu вы вcё же хотuте noпыmаmьcя, тo пpeдвaрumельно сделайmе pезервные kоnии файлoв, uнaчe в cлучae

uх uзмeненuя раcшифрoвkа cтанem нeвозмoжнoй нu npи kаkuх ycловuяx.

Еcлu вы не полyчuли отвеmа по вышеyкaзаннoму aдpеcу в mечeниe 48 чаcов (и mолькo в эmом cлучae!),

восnoльзуйтесь фopмой oбратной связu. Это мoжнo сдeлать двyмя сnоcобaмu:

1) Ckачайте и усmaновитe Tor Browser пo cсылке: https://www.torproject.org/download/download-easy.html.en

В aдpecной cmрoке Tor Browser-а ввeдuтe адpec:

http://cryptsen7fo43rr6.onion/

u нажмume Enter. Зaгрузumcя страница c формой oбрamной связu.

2) B любoм брaузeре nерeйдume пo однoму из адpеcoв:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/ 

 

**************************************************************************************************************************

 

Скажите, пожалуйста, есть ли надежда победить сей недуг?

Какие шаги предпринять?

С уважением, Антон.

Avagabond

Avagabond

Опубликовано
  • Автор
Опубликовано

Ага, спасибо, я прочел :)   Просканировал логи на зараженном компьютере.

Результат в прикрепленном файле.

 

P.S. Но обратите внимание - ни  Kaspersky Virus Removal Tool 2015,  ни Dr.Web CureIt!  ничего не нашли,

видимо, вирус свежий совсем.

CollectionLog-2017.03.14-20.24.zip

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Avagabond

Avagabond

Опубликовано
  • Автор
Опубликовано

Здравствуйте. Скажите, есть ли надежда расшифровать файлы, и какой бы мне предложили план действий -

сейчас компьютер я отключил от локальной сети (чтобы не заразились от него другие компы), работать на нем сотрудница не может.

 

P.S. Отчеты по Farbar Recovery Scan Tool я отправил в своем предыдущем сообщении.

 

Заранее спасибо.

thyrex

thyrex

Опубликовано
Опубликовано

Расшифровки этой разновидности нет ни в одной антивирусной компании. Появиться она может только после поимки злоумышленников.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2017-03-14 15:19 - 2017-03-14 15:19 - 02986038 _____ C:\Documents and Settings\Ольга\Application Data\50BE478250BE4782.bmp
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\Ольга\Рабочий стол\README9.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\Ольга\Рабочий стол\README8.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\Ольга\Рабочий стол\README7.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\Ольга\Рабочий стол\README6.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\Ольга\Рабочий стол\README5.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\Ольга\Рабочий стол\README4.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\Ольга\Рабочий стол\README3.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\Ольга\Рабочий стол\README2.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\Ольга\Рабочий стол\README10.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\Ольга\Рабочий стол\README1.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2017-03-14 13:07 - 2017-03-14 13:07 - 00004170 _____ C:\README9.txt
2017-03-14 13:07 - 2017-03-14 13:07 - 00004170 _____ C:\README8.txt
2017-03-14 13:07 - 2017-03-14 13:07 - 00004170 _____ C:\README7.txt
2017-03-14 13:07 - 2017-03-14 13:07 - 00004170 _____ C:\README6.txt
2017-03-14 13:07 - 2017-03-14 13:07 - 00004170 _____ C:\README5.txt
2017-03-14 13:07 - 2017-03-14 13:07 - 00004170 _____ C:\README4.txt
2017-03-14 13:07 - 2017-03-14 13:07 - 00004170 _____ C:\README3.txt
2017-03-14 13:07 - 2017-03-14 13:07 - 00004170 _____ C:\README2.txt
2017-03-14 13:07 - 2017-03-14 13:07 - 00004170 _____ C:\README10.txt
2017-03-14 13:06 - 2017-03-14 16:44 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
thyrex

thyrex

Опубликовано
Опубликовано

На этом чистка мусора завершена.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vovans
      xtbl
      Автор vovans
      Здравствуйте! Вирус шифровальщик зашифровал весь домашний фото и видеоархив.Сын удалил все вирусы и переустановил Винду.
      Название вируса не сохранил,не знаю что делать. Может есть какая надежда. Стоит Anti-virus 6.0 1688-000451-1CAB33D7.
      ++ESOAXTI-mH+-uhRET6nBLflYWVIDFR6Q7o9t-sNgI=.56697943D750721BF718.xtbl.zip
    • avanGARd62
      Вирус зашифровал файлы в *XTBL
      Автор avanGARd62
      Вирус-шифровальщик зашифровал многочисленные файлы на ноутбуке, сделав расширение XTBL. На рабочем столе создалось несколько файлов README, в которых содержится призыв отправить злоумышленникам на e-mail код для получения дальнейших инструкций.
      Прикрепляю лог, полученный при сканировании (согласно инструкции).
       
      Пожалуйста, помогите.
      CollectionLog-2015.08.13-23.13.zip
    • Людмила 84
      Файлы зашифрованы в формат XTBL
      Автор Людмила 84
      Файлы зашифрованы в формат XTBL, нужен,как вернуть их в прежний формат. Проблема появилась после скачивания книги с непонятным форматом. Вкладываю в сообщение файл протоколов (логов) CollectionLog-2015.08.15-11.17.zip. Обнаружен файл txt с текстом: Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: 77CF48B1169A0CBE123D|79|2|2 на электронный адрес decodefiles1@gmail.com или decodefiles@india.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 77CF48B1169A0CBE123D|79|2|2 to e-mail address decodefiles1@gmail.com or decodefiles@india.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your dat CollectionLog-2015.08.15-11.17.zip
    • wild_difi
      файлы зашифрованы в *XTBL
      Автор wild_difi
      Вирус-шифровальщик зашифровал многочисленные файлы на ноутбуке, сделав расширение XTBL.Так же на рабочем столе присутствуют файлы readme с инструкцией отправки кода но почту!Прикрепляю лог, полученный при сканировании (согласно инструкции).
      Помогите
      CollectionLog-2015.08.15-02.47.zip
    • warg24
      Шифровка всех важных файлов компьютера неведомой заразой.
      Автор warg24
      Ребята кто нибудь, помогите. Включил вечером комп. начались проблемы. Сначала не удавалось к сети интернет подключиться, все запрашивал пароль от wi-fi. Потом через некоторое время появилась черная заставка с неприятным текстом от том что все файлы были зашифрованы((( все они теперь с расширением xtbl... Также имеются текстовые файлы с таким вот текстом. 
       
       Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: FAA4417C82D5F25AC88F|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: FAA4417C82D5F25AC88F|0 to e-mail address decode010@gmail.com or decode1110@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.     Что делать? Подскажите!
×
×
  • Создать...