Появился новый шифровщик

[alesss]

В интернете 28.04.2017 г наткнулся на новый шифровщик ( шифрует файлы текстовый документ , архивы, фото и т.д. , при этом меняет тип файла на .dat

Источник заражения ссылка   ссылка удалена

появился txt документ в нем написано help50@yandex.ru

 

Строгое предупреждение от модератора Mark D. Pearlstone

Не публикуйте вредоносные ссылки и файлы на форуме.

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[alesss]

В интернете 28.04.2017 г наткнулся на новый шифровщик ( шифрует файлы текстовый документ , архивы, фото и т.д. , при этом меняет тип файла на .dat

Источник заражения ссылка  

появился txt документ в нем написано help50@yandex.ru

 

CollectionLog-2017.04.30-12.15.zip

[regist]

Здравствуйте!

 

1) Перед созданием логов антивирус отключали?

 

2) Посмотрите, в этих папках что-нибудь есть?

C:\Program Files\Common Files\x1v5sn2l
C:\Program Files\Common Files\omtl4zfr
C:\Program Files\Common Files\oajnrtba
C:\Program Files\Common Files\k3i1rypi
C:\Program Files\Common Files\jop2b4bk
C:\Program Files\Common Files\jkzj3maf
C:\Program Files\Common Files\fj4n5pqo
C:\Program Files\Common Files\af0skagg
C:\Program Files\Common Files\5fmpydab
C:\Program Files\Common Files\1zcw0fne
C:\Program Files\Common Files\1gnl0mja

3)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

4)

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Uzer\AppData\Roaming\Adobe\Manager.exe', '');
 QuarantineFile('C:\Windows\svchost.exe', '');
 DeleteFile('C:\Windows\svchost.exe', '32');
 DeleteFile('C:\Users\Uzer\AppData\Roaming\Adobe\Manager.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Manager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "WindowsUpdater" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "updvte" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


5)  - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

6) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

7)  Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

[alesss]

1) Перед созданием логов антивирус отключали?   Ответ Да

 

2) Посмотрите, в этих папках что-нибудь есть?  Ответ Да

C:\Program Files\Common Files\x1v5sn2l                                    там 39d86qgscjk2f.exe
C:\Program Files\Common Files\omtl4zfr                                            c8655wyyvoj24.exe
C:\Program Files\Common Files\oajnrtba                                            f936610iy24ms.exe    
C:\Program Files\Common Files\k3i1rypi                                            c5ab7ighs51to.exe 
C:\Program Files\Common Files\jop2b4bk                                          c89144mb5vu3v.exe
C:\Program Files\Common Files\jkzj3maf                                           89a6ebf3oytrl.exe  
C:\Program Files\Common Files\fj4n5pqo                                          7b0064thxk4g0.exe
C:\Program Files\Common Files\af0skagg                                         7c558bhqkxdup.exe
C:\Program Files\Common Files\5fmpydab                                        bc847r41djamt.exe
C:\Program Files\Common Files\1zcw0fne                                         14ae3xfnvojzh.exe
C:\Program Files\Common Files\1gnl0mja                                          2d0b73x0igl0d.exe

 

сейчас буду делать 3 пункт 

[thyrex]

Пример зашифрованного doc или docx файла в архиве прикрепите к сообщению

[alesss]

3 этап выполнил все отправил 

4 и 5 пункт тоже выполнил

6 пункт прикрепляю

7 пункт

 

ClearLNK-30.04.2017_16-28.log

CollectionLog-2017.04.30-16.37.zip

[regist]

5 - где ответ вирлаба с указанием номера клана?

7-й пункт не сделали.

[alesss]

Пример зашифрованного doc или docx файла в архиве прикрепите к сообщению  doc  и txt

 

рено метод ошибок сброс.txt.rar

EXTM3U.doc.rar

[regist]

 

 

Пример зашифрованного doc или docx файла в архиве прикрепите к сообщению doc и txt

Нужен один и тот же файл в зашифрованном виде и его оригинал (до шифрования).

[alesss]

5 ответ 

quarantine.zip [KLAN-6177383843]

7 пункт выполнил, он же как и первый выполняется 

CollectionLog-2017.04.30-16.37.zip

[regist]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ClearQuarantineEx(true);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\x1v5sn2l', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\omtl4zfr', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\oajnrtba', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\k3i1rypi', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\jop2b4bk', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\jkzj3maf', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\fj4n5pqo', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\af0skagg', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\5fmpydab', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\1zcw0fne', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\1gnl0mja', '*', true, '', 0, 0);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 RebootWindows(false);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:
 

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

 

"Пофиксите" в HijackThis:

O4 - MSConfig\startupreg: [MegaFon_MegaFonInternet] C:\Program Files (x86)\MegaFon\MegaFon Internet\MegaFonInternet.exe /minimized (file missing) (HKLM) (2016/08/13)
O4 - MSConfig\startupreg: [Navitel Updater Auto Launcher] C:\Program Files (x86)\CNT\Navitel Navigator Update Center\NavitelUpdaterLauncher.exe (file missing) (HKLM) (2016/08/13)
O22 - Task (Disabled): posdoonioa - C:\Windows\system32\config\systemprofile\AppData\Local\Donflex /t 2038 2232 (file missing)
O22 - Task (Ready): \Microsoft\Windows\Multimedia\Manager - C:\Users\Uzer\AppData\Roaming\Adobe\Manager.exe 604C4206-B430-43E1-A102-8BF11249AEC2 (file missing)
O22 - Task (Ready): \Microsoft\Windows\WindowsUpdater - C:\Users\Uzer\AppData\Roaming\WindowsUpdater\Updater.exe F5BF4770-A500-4F73-8797-FECD3C8C7310 (file missing)

Программы/расширения от Mail.ru используете?
 

 

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Изменено 30 апреля, 2017 пользователем regist

[alesss]

нашел только этот оригинал и зашифрованный файл 

Отправлено 5 минут назад

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
не удается выполнить

Ошибка скрипта: ')' expected, позиция [3:95]  

Griby_-_Taet_Led_(ringon.ru).mp3.rar

Griby_-_Taet_Led_(ringon.ru).rar

[regist]

 

 

Ошибка скрипта: ')' expected, позиция [3:95]

поправил скрипт.

[thyrex]

Я просил только пример шифрованного файла и только любого из двух указанных форматов