Перейти к содержанию

*.no_more_ransom - Trojan.Encoder.858

vvkov
 Share

Рекомендуемые сообщения

vvkov Новичок

vvkov

Опубликовано
  • Автор
Опубликовано

В момент заражения на компьютере отсутствовал антивирус.

 

Обращался в техническую поддержку DrWeb и Nod32

Ответили, что дешифровать пока невозможно. 

 

DrWeb сказал, что файлы зашифрованы trojan.Encoder.858

 

CollectionLog-2017.04.28-17.02.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

 

 - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\services\csrss.exe');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 TerminateProcessByName('c:\programdata\csrss\csrss.exe');
 TerminateProcessByName('c:\programdata\drivers\csrss.exe');
 StopService('642E356');
 StopService('70FB88C');
 QuarantineFile('c:\programdata\services\csrss.exe', '');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 QuarantineFile('c:\programdata\csrss\csrss.exe', '');
 QuarantineFile('c:\programdata\drivers\csrss.exe', '');
 QuarantineFile('C:\Windows\TEMP\642E356.sys', '');
 QuarantineFile('C:\Windows\TEMP\70FB88C.sys', '');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\VegaFTPSecureClient.exe', '');
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\VegaFTPSecureClient.exe', '');
 QuarantineFile('C:\Users\рропао\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk', '');
 QuarantineFile('C:\Users\рропао\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk', '');
 QuarantineFile('C:\Users\рропао\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk', '');
 QuarantineFile('C:\Users\рропао\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', '');
 QuarantineFile('C:\Users\рропао\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex (2).lnk', '');
 QuarantineFileF('c:\programdata\services\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\programdata\windows\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\programdata\drivers\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\program files\contentprotector', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('c:\programdata\services\csrss.exe', '32');
 DeleteFile('c:\programdata\windows\csrss.exe', '32');
 DeleteFile('c:\programdata\csrss\csrss.exe', '32');
 DeleteFile('c:\programdata\drivers\csrss.exe', '32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\VegaFTPSecureClient.exe', '32');
 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\VegaFTPSecureClient.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\condefclean.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\import_root_cert.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\libeay32.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\certutil.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\mozcrt19.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\nspr4.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\nss3.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\plc4.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\plds4.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\smime3.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\softokn3.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\ssleay32.dll', '32');
 DeleteFileMask('c:\programdata\services\', '*', true);
 DeleteFileMask('c:\programdata\windows\', '*', true);
 DeleteFileMask('c:\programdata\drivers\', '*', true);
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteFileMask('c:\program files\contentprotector', '*', true);
 DeleteDirectory('c:\programdata\services\');
 DeleteDirectory('c:\programdata\windows\');
 DeleteDirectory('c:\programdata\drivers\');
 DeleteDirectory('c:\program files (x86)\zaxar');
 DeleteDirectory('c:\program files\contentprotector');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarGameBrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarLoader');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'NetworkSubsystem');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Session Manager');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • PROXY
      Trojan.Encoder.37506
      От PROXY
      Здравствуйте. Злоумышленник зашифровал все файлы, включая систему, используя Trojan.Encoder.37506.
      Есть возможность расшифровать данные? Прикладываю архив с несколькими зашифрованными файлами + файл Key.Secret.
      Заранее благодарю!
      virus.zip
    • Soft619
      Пойман Trojan.Encoder.31074 (Lockbit 3)
      От Soft619
      Добрый день. На ПК, без установленного на момент шифрования антивируса, попал Trojan.Encoder.31074 (Lockbit 3). Все документы зашифрованы, в расширениях файлов содержится Hf7GtyFVI. Требования были размещены текстовым файлом во всех папках, где были документы. После обнаружения система сразу была просканирована через загрузочный диск Касперского, всё подозрительное удалено. Прошу помочь с расшифровкой. 
      Files.zip
    • Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3)
      От Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3).
      Просим помощи в расшифровке
      Файл вируса в архиве имеется.
      Убиты все сервера компании.
       
      Mimo.rar
    • Николай Щипунов
      файлы зашифрованы trojan.encoder.38576
      От Николай Щипунов
      Добрый день!
       
      Компьютер пользователя атакован вирусом-шифровальщиком. Предположительный канал проникновения - доступ к удаленному рабочему столу через протокол RDP.
      Образцы файлов и записка вымогателей находятся в файле samples.zip. Незашифрованные версии файлов имеются и могут быть предоставлены по запросу.
      Сам файл шифровальщика найден и может быть предоставлен дополнительно по запросу.
       
      Операционная система  была переустановлена. Farbar Recovery Scan Tool запускалась в чистой среде.
      samples.zip Addition.txt FRST.txt
    • Вадим Бутаков
      Trojan.Encoder.35534, зашифрован сервер с 1С, прошу помощи.
      От Вадим Бутаков
      Добрый день, прошу помощи в расшифровке, зашифрован сервер с 1С.
       
      Письмо мошенников дублирую текстом т.к. нет исходника.
       
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted
      Your decryption ID is 5-ujLaxrW7IOQ8ub6WiEirPnYu-1T8IrAYx9nJCipxY*SOPHOSANTIVIRUS
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) TOX messenger (fast and anonymous)
      https://tox.chat/download.html
      Install qtox
      Press sign up
      Create your own name
      Press plus
      Put there our tox ID:
      E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
      And add me/write message
      2)ICQ - @SOPHOSANTIVIRUS
      3)SKYPE - SOPHOSANTIVIRUS DECRYPTION
      Contact us soon, because those who don't have their data leaked in our press release blog and the price they'll have to pay will go up significantly.
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
      FRST.txt для касперского.rar Addition.txt
×
×
  • Создать...