Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Шифровальщик Trojan-Ransom.Win32.FileCoder.d

tmnkun
 Поделиться

Рекомендуемые сообщения

tmnkun

tmnkun

Опубликовано
Опубликовано (изменено)

Добрый день. Текст README аналогичен посту из этой темы. Для инофрмации, так как понял что расшифровки нет. Зашифрованы файлы офисных форматов, архивы, файлы Autocada, картинки, расширение .CRYPTED000007. Вирус со слов пользователя попал при серфинге Интернета через IE11.  Дополнительно могу предоставить репорты Kaspersky Rescure Disk, а также несколько зашифрованных файлов и этих же файлов до шифрации.

 

 

CollectionLog-2017.04.25-10.12.zip

Addition.txt

FRST.txt

Shortcut.txt

Изменено пользователем tmnkun
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Логи FRST переделайте, пожалуйста, запустив утилиту правой кнопкой от имени администратора.

Ссылка на комментарий
Поделиться на другие сайты
tmnkun

tmnkun

Опубликовано
  • Автор
Опубликовано
Логи FRST переделайте, пожалуйста, запустив утилиту правой кнопкой от имени администратора.

 

 

 

 

 

 

Переделал.

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Включите Восстановление системы.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
2017-04-24 16:48 - 2017-04-24 16:48 - 06220854 _____ C:\Users\posohina.KOGALYM\AppData\Roaming\09E698B309E698B3.bmp
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README9.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README8.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README7.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README6.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README5.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README4.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README3.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README2.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README10.txt
2017-04-24 16:48 - 2017-04-24 16:48 - 00004154 _____ C:\Users\posohina.KOGALYM\Desktop\README1.txt
2017-04-24 16:13 - 2017-04-24 16:13 - 00000000 __SHD C:\Users\Все пользователи\System32
2017-04-24 16:13 - 2017-04-24 16:13 - 00000000 __SHD C:\ProgramData\System32
2017-04-24 15:17 - 2017-04-25 07:39 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-04-24 15:17 - 2017-04-25 07:39 - 00000000 __SHD C:\ProgramData\Windows
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Имеет смысл сохранить закриптованные файлы?

Да, не исключено, что инструмент появится, но пока его нет.

 

Сохраните также содержимое папки C:\FRST

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 4.0.0 (32-разрядная) v.4.0.0 Внимание! Скачать обновления

 

 

Посмотрите настройку KES для защиты от шифрования.

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Kdademon
      Помогите в расшифровке файлов после вируса шифровальщика Trojan-Ransom.Win32.Mimic.gen
      Автор Kdademon
      02.072025 обнаружили что на 2 компа (Windows 7) попал вирус шифровальщик 
      подключились предположительно по RDP
      зашифровали все базы 1с, бэкапы, архивы, документы
      файл с обращением от вымогателей нашли
      Kaspersky Virus Removal Tool нашел вируc HEUR:Trojan-Ransom.Win32.Mimic.gen

      Подскажите порядок действий по лечению этих компов и возможна ли дешифровка?
      Как можно обезопасится от подобного?
      Поможет ли установка Kaspersky на все компьютеры сети?

      Во вложении архив с примерами зашифрованных файлов из папки php
      Файлы постарался выбрать стандартные, общеизвестные может поможет в дешифровке
      Также приложил скрин с проверкой от Kaspersky Virus Removal Tool

      php.rar
    • gulyeza
      [РЕШЕНО] Скачал и запустил Trojan
      Автор gulyeza
      Здравствуйте, вчера умудрился попостятся на троян. Если рассказывать кратко, качал зип архив с UploadHeaven, но начались перебросы по ссылкам и по итогу скачался exe файл. Сразу закинуть его в проверку ума не хватило, да и повода сомневается не было, очень много в свое время оттуда качал, вот и подумал, может у них обновление какое то, что распаковщик теперь такой. Но стоило только открыть, сразу антивирус начал всю систему грузить, начал пытаться закрывать, но только через диспетчер смог. Так же в диспетчере появились 3 новые процесса, 1 из которых не запомнил, а остальные 2 были: reason cybersecurite и reason cybersecurite vpn. Начал через параметры их удалять, так то даже получилось. Затем зашел в виндоус дефендер, он как то странно тупил, подгружался постоянно, через пару секунд вообще выключился. Ну я и нажал снова включить, как я понял, это и была главная ошибка, потому что высветилось окно подтверждения с изменением файлов (стандартное когда запускаешь антивирусник) я и нажал на "Да". На первый взгляд вообще ничего не поменялось, подумал что пора винду сносить. Все переустановил, правда не с внешнего накопителя, а локально, с этого же ноута. И есть подозрения, что особо красок не поменяло, потому что при заходе в дефендер пишет, мол "Ваш системный администратор ограничил доступ", пытался это выключить по гайдам на сайте майкрасофта, ничего не сработало. Подумал надо и биос сбросить, зашел потыкался, не особо понял поменялось ли вообще что то.
      Прикладываю скан того exe с вирус тотала:
      Так же файл с логами:CollectionLog-2025.06.22-19.56.zip
      Еще, после сбора логов, эта надпись "Ваш системный администратор ограничил доступ" в дефендере пропала, не знаю хорошо это или плохо.
      Заранее Спасибо за ответ, надеюсь проблема решаема.
      upd: после сброса винды, запускал скан доктор веба, ничего не нашел
    • foroven
      [РАСШИФРОВАНО]Шифровальщик Trojan-Ransom.Win32.Xorist.ln
      Автор foroven
      Добрый день. Схватили шифровальщик. Кажется что взломали RDP доступ т.к был открыт наружу с слабым паролем. Зашифрованные файлы имеют расширение *.er
      Файлы с обычным расширением где есть файл *.er не открываются. В основном зашифрованы базы 1С и полностью пропал из системы один диск, отображается в диспетчере дисков, как нераспределенный. Но программой восстановления удалось восстановит все файлы, но они также зашифрованы.

      Копии.7z
    • nikolai.ilyin
      Ransom.Win32.Generic
      Автор nikolai.ilyin
      Зашифровали всю сеть 
      virus.7z Addition.txt
    • DoctorRS
      Trojan-Ransom.Win32.Mimic
      Автор DoctorRS
      Добрый день. Зашифровали файлы Trojan-Ransom.Win32.Mimic, не работает 1С и файлы офис. Помогите пожалуйста есть ли варианты дешифрации ? 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
×
×
  • Создать...