Перейти к содержанию

Шифровальщик Trojan-Ransom.Win32.FileCoder.d


Рекомендуемые сообщения

Добрый день. Текст README аналогичен посту из этой темы. Для инофрмации, так как понял что расшифровки нет. Зашифрованы файлы офисных форматов, архивы, файлы Autocada, картинки, расширение .CRYPTED000007. Вирус со слов пользователя попал при серфинге Интернета через IE11.  Дополнительно могу предоставить репорты Kaspersky Rescure Disk, а также несколько зашифрованных файлов и этих же файлов до шифрации.

 

 

CollectionLog-2017.04.25-10.12.zip

Addition.txt

FRST.txt

Shortcut.txt

Изменено пользователем tmnkun
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

Логи FRST переделайте, пожалуйста, запустив утилиту правой кнопкой от имени администратора.

Ссылка на комментарий
Поделиться на другие сайты

Включите Восстановление системы.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
2017-04-24 16:48 - 2017-04-24 16:48 - 06220854 _____ C:\Users\posohina.KOGALYM\AppData\Roaming\09E698B309E698B3.bmp
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README9.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README8.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README7.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README6.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README5.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README4.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README3.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README2.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README10.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README1.txt
2017-04-24 16:13 - 2017-04-24 16:13 - 00000000 __SHD C:\Users\Все пользователи\System32
2017-04-24 16:13 - 2017-04-24 16:13 - 00000000 __SHD C:\ProgramData\System32
2017-04-24 15:17 - 2017-04-25 07:39 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-04-24 15:17 - 2017-04-25 07:39 - 00000000 __SHD C:\ProgramData\Windows
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Имеет смысл сохранить закриптованные файлы?

Да, не исключено, что инструмент появится, но пока его нет.

 

Сохраните также содержимое папки C:\FRST

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 4.0.0 (32-разрядная) v.4.0.0 Внимание! Скачать обновления

 

 

Посмотрите настройку KES для защиты от шифрования.

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...