Перейти к содержанию

Появился новый шифровщик


Рекомендуемые сообщения

В интернете 28.04.2017 г наткнулся на новый шифровщик ( шифрует файлы текстовый документ , архивы, фото и т.д. , при этом меняет тип файла на .dat

Источник заражения ссылка   ссылка удалена

появился txt документ в нем написано help50@yandex.ru

 

Строгое предупреждение от модератора Mark D. Pearlstone
Не публикуйте вредоносные ссылки и файлы на форуме.
Ссылка на комментарий
Поделиться на другие сайты

В интернете 28.04.2017 г наткнулся на новый шифровщик ( шифрует файлы текстовый документ , архивы, фото и т.д. , при этом меняет тип файла на .dat


Источник заражения ссылка  


появился txt документ в нем написано help50@yandex.ru


 


CollectionLog-2017.04.30-12.15.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

1) Перед созданием логов антивирус отключали?

 

2) Посмотрите, в этих папках что-нибудь есть?

C:\Program Files\Common Files\x1v5sn2l
C:\Program Files\Common Files\omtl4zfr
C:\Program Files\Common Files\oajnrtba
C:\Program Files\Common Files\k3i1rypi
C:\Program Files\Common Files\jop2b4bk
C:\Program Files\Common Files\jkzj3maf
C:\Program Files\Common Files\fj4n5pqo
C:\Program Files\Common Files\af0skagg
C:\Program Files\Common Files\5fmpydab
C:\Program Files\Common Files\1zcw0fne
C:\Program Files\Common Files\1gnl0mja

3)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

4)

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Uzer\AppData\Roaming\Adobe\Manager.exe', '');
 QuarantineFile('C:\Windows\svchost.exe', '');
 DeleteFile('C:\Windows\svchost.exe', '32');
 DeleteFile('C:\Users\Uzer\AppData\Roaming\Adobe\Manager.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Manager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "WindowsUpdater" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "updvte" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


5)  - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

6) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

7)  Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

Ссылка на комментарий
Поделиться на другие сайты

1) Перед созданием логов антивирус отключали?   Ответ Да

 

2) Посмотрите, в этих папках что-нибудь есть?  Ответ Да

C:\Program Files\Common Files\x1v5sn2l                                    там 39d86qgscjk2f.exe
C:\Program Files\Common Files\omtl4zfr                                            c8655wyyvoj24.exe
C
:\Program Files\Common Files\oajnrtba                                            f936610iy24ms.exe    
C
:\Program Files\Common Files\k3i1rypi                                            c5ab7ighs51to.exe 
C:\Program Files\Common Files\jop2b4bk                                          c89144mb5vu3v.exe
C
:\Program Files\Common Files\jkzj3maf                                           89a6ebf3oytrl.exe  
C
:\Program Files\Common Files\fj4n5pqo                                          7b0064thxk4g0.exe
C
:\Program Files\Common Files\af0skagg                                         7c558bhqkxdup.exe
C
:\Program Files\Common Files\5fmpydab                                        bc847r41djamt.exe
C
:\Program Files\Common Files\1zcw0fne                                         14ae3xfnvojzh.exe
C
:\Program Files\Common Files\1gnl0mja                                          2d0b73x0igl0d.exe

 

сейчас буду делать 3 пункт 

Ссылка на комментарий
Поделиться на другие сайты

 

 


Пример зашифрованного doc или docx файла в архиве прикрепите к сообщению doc и txt
Нужен один и тот же файл в зашифрованном виде и его оригинал (до шифрования).
Ссылка на комментарий
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ClearQuarantineEx(true);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\x1v5sn2l', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\omtl4zfr', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\oajnrtba', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\k3i1rypi', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\jop2b4bk', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\jkzj3maf', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\fj4n5pqo', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\af0skagg', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\5fmpydab', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\1zcw0fne', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\C:\Program Files\Common Files\1gnl0mja', '*', true, '', 0, 0);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 RebootWindows(false);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:
 

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

 

"Пофиксите" в HijackThis:

O4 - MSConfig\startupreg: [MegaFon_MegaFonInternet] C:\Program Files (x86)\MegaFon\MegaFon Internet\MegaFonInternet.exe /minimized (file missing) (HKLM) (2016/08/13)
O4 - MSConfig\startupreg: [Navitel Updater Auto Launcher] C:\Program Files (x86)\CNT\Navitel Navigator Update Center\NavitelUpdaterLauncher.exe (file missing) (HKLM) (2016/08/13)
O22 - Task (Disabled): posdoonioa - C:\Windows\system32\config\systemprofile\AppData\Local\Donflex /t 2038 2232 (file missing)
O22 - Task (Ready): \Microsoft\Windows\Multimedia\Manager - C:\Users\Uzer\AppData\Roaming\Adobe\Manager.exe 604C4206-B430-43E1-A102-8BF11249AEC2 (file missing)
O22 - Task (Ready): \Microsoft\Windows\WindowsUpdater - C:\Users\Uzer\AppData\Roaming\WindowsUpdater\Updater.exe F5BF4770-A500-4F73-8797-FECD3C8C7310 (file missing)

Программы/расширения от Mail.ru используете?
 

 

 

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.


Подробнее читайте в этом руководстве.
 

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

нашел только этот оригинал и зашифрованный файл 


Отправлено 5 минут назад

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
не удается выполнить

Ошибка скрипта: ')' expected, позиция [3:95]  

Griby_-_Taet_Led_(ringon.ru).mp3.rar

Griby_-_Taet_Led_(ringon.ru).rar

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Mickl1977
      От Mickl1977
      Подключились к серверу 03.0087 в 00:19 часа примерно и зашифровали файлы.  Файлы получили расширение .IxehUe8Rg. Есть ли возможность расшифровать?
      Files.rar
    • morose
      От morose
      У меня есть этот файл, подскажите как отправить вам
       
      Сообщение от модератора kmscom Сообщение вынесено из темы Вирус-шифровальщик [blankqq@tuta.io].elpy  
    • Rusyan
      От Rusyan
      Добрый день.
      Помогите опознать вирус-шифровальщик. Файлы имеют расширение doome7Ei
      Ежедневные задания по работам.rar
      Шифровальщик зашифровал все файлы на компе, помогите разобраться, есть ли шанс восстановить?
       
    • localhost
      От localhost
      Добрый день!

      Подскажите, возможно ли что-то сделать с данным типом шифровальщика. Достать логи через FRST на данный момент не представляется возможным, если получится вытащить - прикреплю в постах ниже.
       
      1. Soft - Ярлык.lnk.id[6C99500F-2899].[update2020@airmail.cc].rar AnyDesk.exe.id[6C99500F-2899].[update2020@airmail.cc].rar
    • ches66
      От ches66
      Добрый день!
      Найден шифровальщик 
      зашифровал файлы под именем .id[D80C2187-3352].[captain-america@tuta.io].deep
      Определить Шифровальщик не получается, в связи с чем невозможно определить существует ли дешифровщик к нему.
      Нужна помощь! 
      Доступ АТС.txt.id[D80C2187-3352].[captain-america@tuta.io].zip
      FRST.zip
×
×
  • Создать...