PycLan 0 Опубликовано 16 марта, 2017 Share Опубликовано 16 марта, 2017 на днях один из сотрудников открыл файл из электронки, и в итоге все файлы на компе, а также на съемном жестком, который был подключен к системнику зашифрованы в файл no_more_ransom, а так же иногда встречается TYSON. Прошу помощи в расшифровке данных. CollectionLog-2017.03.16-15.55.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 16 марта, 2017 Share Опубликовано 16 марта, 2017 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe',''); QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\kinoroom-browser.exe',''); QuarantineFile('C:\Users\Светлана\AppData\Local\Microsoft\Extensions\safebrowser.exe',''); QuarantineFile('C:\Users\Светлана\AppData\Local\Microsoft\Extensions\extsetup.exe',''); TerminateProcessByName('c:\programdata\kbrowser utility\kbrowser-updater-utility.exe'); QuarantineFile('c:\programdata\kbrowser utility\kbrowser-updater-utility.exe',''); TerminateProcessByName('c:\programdata\windows\csrss.exe'); QuarantineFile('c:\programdata\windows\csrss.exe',''); DeleteFile('c:\programdata\windows\csrss.exe','32'); DeleteFile('c:\programdata\kbrowser utility\kbrowser-updater-utility.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); DeleteFile('C:\Users\Светлана\AppData\Local\Microsoft\Extensions\extsetup.exe','32'); DeleteFile('C:\Users\Светлана\AppData\Local\Microsoft\Extensions\safebrowser.exe','32'); DeleteFile('C:\Program Files (x86)\Kinoroom Browser\kinoroom-browser.exe','32'); DeleteFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe','32'); DeleteFile('C:\Windows\system32\Tasks\kbrowser-updater-utility','64'); DeleteFile('C:\Windows\system32\Tasks\extsetup','64'); DeleteFile('C:\Windows\system32\Tasks\Safebrowser','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger Ссылка на сообщение Поделиться на другие сайты
PycLan 0 Опубликовано 17 марта, 2017 Автор Share Опубликовано 17 марта, 2017 [KLAN-5971485393] newvirus@kaspersky.comnewvirus@kaspersky.com сегодня в 8:33 Благодарим за обращение в Антивирусную ЛабораториюПрисланные вами файлы были проверены в автоматическом режиме.В антивирусных базах информация по присланным вами файлам отсутствует:kbrowser-updater-utility.exesafebrowser.exeВ следующих файлах обнаружен вредоносный код:csrss.exe - Trojan.Win32.Fsysna.ehdeФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. CollectionLog-2017.03.17-08.22.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 17 марта, 2017 Share Опубликовано 17 марта, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
PycLan 0 Опубликовано 17 марта, 2017 Автор Share Опубликовано 17 марта, 2017 готово pack.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 17 марта, 2017 Share Опубликовано 17 марта, 2017 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: HKLM-x32\...\Run: [] => [X] CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION HKU\S-1-5-21-1017541402-10110202-3385490810-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=aee75bc1b1ab87e38c4bf69ad6f44314&text={searchTerms} HKU\S-1-5-21-1017541402-10110202-3385490810-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=aee75bc1b1ab87e38c4bf69ad6f44314&text={searchTerms} SearchScopes: HKU\S-1-5-21-1017541402-10110202-3385490810-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=aee75bc1b1ab87e38c4bf69ad6f44314&text={searchTerms} SearchScopes: HKU\S-1-5-21-1017541402-10110202-3385490810-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=aee75bc1b1ab87e38c4bf69ad6f44314&text= DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=aee75bc1b1ab87e38c4bf69ad6f44314&text= <==== ATTENTION 2017-03-14 15:29 - 2017-03-14 15:29 - 03932214 _____ C:\Users\Светлана\AppData\Roaming\F61D2428F61D2428.bmp 2017-03-14 15:28 - 2017-03-14 15:28 - 00004154 _____ C:\Users\Светлана\Desktop\README9.txt 2017-03-14 15:28 - 2017-03-14 15:28 - 00004154 _____ C:\Users\Светлана\Desktop\README8.txt 2017-03-14 15:28 - 2017-03-14 15:28 - 00004154 _____ C:\Users\Светлана\Desktop\README7.txt 2017-03-14 15:28 - 2017-03-14 15:28 - 00004154 _____ C:\Users\Светлана\Desktop\README6.txt 2017-03-14 15:28 - 2017-03-14 15:28 - 00004154 _____ C:\Users\Светлана\Desktop\README5.txt 2017-03-14 15:28 - 2017-03-14 15:28 - 00004154 _____ C:\Users\Светлана\Desktop\README4.txt 2017-03-14 15:28 - 2017-03-14 15:28 - 00004154 _____ C:\Users\Светлана\Desktop\README3.txt 2017-03-14 15:28 - 2017-03-14 15:28 - 00004154 _____ C:\Users\Светлана\Desktop\README2.txt 2017-03-14 15:28 - 2017-03-14 15:28 - 00004154 _____ C:\Users\Светлана\Desktop\README10.txt 2017-03-14 15:28 - 2017-03-14 15:28 - 00004154 _____ C:\Users\Светлана\Desktop\README1.txt 2017-03-14 15:28 - 2017-03-14 15:28 - 00004154 _____ C:\Users\Public\Desktop\README9.txt 2017-03-14 15:28 - 2017-03-14 15:28 - 00004154 _____ C:\Users\Public\Desktop\README8.txt 2017-03-14 15:28 - 2017-03-14 15:28 - 00004154 _____ C:\Users\Public\Desktop\README7.txt 2017-03-14 15:28 - 2017-03-14 15:28 - 00004154 _____ C:\Users\Public\Desktop\README6.txt 2017-03-14 15:28 - 2017-03-14 15:28 - 00004154 _____ C:\Users\Public\Desktop\README5.txt 2017-03-14 15:28 - 2017-03-14 15:28 - 00004154 _____ C:\Users\Public\Desktop\README4.txt 2017-03-14 15:28 - 2017-03-14 15:28 - 00004154 _____ C:\Users\Public\Desktop\README3.txt 2017-03-14 15:28 - 2017-03-14 15:28 - 00004154 _____ C:\Users\Public\Desktop\README2.txt 2017-03-14 15:28 - 2017-03-14 15:28 - 00004154 _____ C:\Users\Public\Desktop\README10.txt 2017-03-14 15:28 - 2017-03-14 15:28 - 00004154 _____ C:\Users\Public\Desktop\README1.txt 2017-03-14 15:28 - 2017-03-14 15:28 - 00000000 __SHD C:\Users\Все пользователи\System32 2017-03-14 15:28 - 2017-03-14 15:28 - 00000000 __SHD C:\ProgramData\System32 2017-03-13 13:06 - 2017-03-17 08:12 - 00000000 __SHD C:\Users\Все пользователи\Windows 2017-03-13 13:06 - 2017-03-17 08:12 - 00000000 __SHD C:\ProgramData\Windows 2017-03-13 13:06 - 2017-03-13 13:06 - 00004154 _____ C:\README9.txt 2017-03-13 13:06 - 2017-03-13 13:06 - 00004154 _____ C:\README8.txt 2017-03-13 13:06 - 2017-03-13 13:06 - 00004154 _____ C:\README7.txt 2017-03-13 13:06 - 2017-03-13 13:06 - 00004154 _____ C:\README6.txt 2017-03-13 13:06 - 2017-03-13 13:06 - 00004154 _____ C:\README5.txt 2017-03-13 13:06 - 2017-03-13 13:06 - 00004154 _____ C:\README4.txt 2017-03-13 13:06 - 2017-03-13 13:06 - 00004154 _____ C:\README3.txt 2017-03-13 13:06 - 2017-03-13 13:06 - 00004154 _____ C:\README2.txt 2017-03-13 13:06 - 2017-03-13 13:06 - 00004154 _____ C:\README10.txt CustomCLSID: HKU\S-1-5-21-1017541402-10110202-3385490810-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Светлана\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-1017541402-10110202-3385490810-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Светлана\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-1017541402-10110202-3385490810-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Светлана\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-1017541402-10110202-3385490810-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Светлана\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-1017541402-10110202-3385490810-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Светлана\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-1017541402-10110202-3385490810-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Светлана\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-1017541402-10110202-3385490810-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Светлана\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-1017541402-10110202-3385490810-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Светлана\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-1017541402-10110202-3385490810-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Светлана\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll => No File Task: {289F5207-CD89-463E-B9BC-3F5041BCB570} - System32\Tasks\ParetoLogic Update Version3 => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe [2013-06-18] () <==== ATTENTION Task: {3257C8EC-D9ED-4B8E-9488-10822170E13D} - \Safebrowser -> No File <==== ATTENTION Task: {9E570A19-96EF-41DB-BFFA-BB796BD8FA97} - \kbrowser-updater-utility -> No File <==== ATTENTION Task: {DCA32228-57C8-46D4-A4B3-64AE2D35B047} - System32\Tasks\ParetoLogic Update Version3 Startup Task => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe [2013-06-18] () <==== ATTENTION Task: {F40514CD-6621-4AC2-B8A4-0C9B055BF116} - \extsetup -> No File <==== ATTENTION Task: C:\Windows\Tasks\ParetoLogic Registration3.job => rundll32.exe C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll <==== ATTENTION Task: C:\Windows\Tasks\ParetoLogic Update Version3 Startup Task.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION Task: C:\Windows\Tasks\ParetoLogic Update Version3.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание, что будет выполнена перезагрузка компьютера. Ссылка на сообщение Поделиться на другие сайты
PycLan 0 Опубликовано 20 марта, 2017 Автор Share Опубликовано 20 марта, 2017 Добрый день! Хоть какая то надежда на восстановление файлов есть? Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Vasmax 0 Опубликовано 20 марта, 2017 Share Опубликовано 20 марта, 2017 всем привет, у меня тоже самое, нашел чувака из "дешифров ". расшифровал мне одну фотку и теперь требует денег, за дешифратор, вот я думаю, этот дешифратор появится когда нибудь? или давайте все скинемся выкупим дешифратор, покупатель разошлет копии всем участникам, и один файл в касперский пусть их мега умы изучают.... и все в шоколаде, правда остается вопрос, одинаковый ли алгоритм шифрования у всех участников? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 20 марта, 2017 Share Опубликовано 20 марта, 2017 Алгоритм одинаковый, ключи уникальные для каждого пострадавшего Ссылка на сообщение Поделиться на другие сайты
PycLan 0 Опубликовано 21 марта, 2017 Автор Share Опубликовано 21 марта, 2017 Добрый день! Уважаемый Алгоритм одинаковый, ключи уникальные для каждого пострадавшего Могу ли я переустановить системник, сохранив при этом файлы на съемном диске? смогу ли я, когда появится дешифратор их расшифровать? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 21 марта, 2017 Share Опубликовано 21 марта, 2017 Сохраняйте, включая хотя бы один файл с сообщением вымогателей (один я специально не трогал на диске С). Может и появится в далеком будущем (в ближайшем сомнительно) что-то для расшифровки. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти