Шифровальщик

10 мая, 2017

Здравствуйте, сегодня утром шифровальщик изменил расширения на UIWIX и с моим личным id для вымогателя. Пример прикрепил, лог тоже и требования хакеров. Вообще не пойму каким образом они это сделали ?
Надеюсь на помощь, в гугле сегодня только пару таких же ситуаций нашел, походу какая то новая зараза.

CollectionLog-2017.05.10-10.59.zip

_DECODE_FILES.txt

Изменено 10 мая, 2017 пользователем lesnoychelovek

10 мая, 2017

Здравствуйте!

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

+

Упакуйте и прикрепите пару небольших поврежденных офисных документов.

10 мая, 2017

Спасибо за быстрый ответ !
из офисных всё что было прислал там правда еще пароли мои в txt но не знаю присылать или нет ?
Все пусковые изменились в такое название пример Google Chrome.lnk._3011706496.UIWIX, O&O Defrag.lnk._3011706496.UIWIX ну и т.д. Есть еще pdf один но он не грузится там 11 Мб

форматирования текста.txt._3011706496.UIWIX.7z

Изменено 10 мая, 2017 пользователем lesnoychelovek

10 мая, 2017

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2017-05-10 08:20 - 2017-05-10 08:20 - 00000559 _____ C:\Windows\system32\_DECODE_FILES.txt
2017-05-10 08:20 - 2017-05-10 08:20 - 00000559 _____ C:\Users\Public\Desktop\_DECODE_FILES.txt
2017-05-10 08:20 - 2017-05-10 08:20 - 00000559 _____ C:\Users\Default\AppData\Local\_DECODE_FILES.txt
2017-05-10 08:20 - 2017-05-10 08:20 - 00000559 _____ C:\Users\Default\AppData\_DECODE_FILES.txt
2017-05-10 08:20 - 2017-05-10 08:20 - 00000559 _____ C:\Users\Default User\AppData\Local\_DECODE_FILES.txt
2017-05-10 08:20 - 2017-05-10 08:20 - 00000559 _____ C:\Users\Default User\AppData\_DECODE_FILES.txt
2017-05-10 08:20 - 2017-05-10 08:20 - 00000559 _____ C:\Users\7\AppData\Local\Apps\_DECODE_FILES.txt
2017-05-10 08:20 - 2017-05-10 08:20 - 00000559 _____ C:\Users\7\AppData\Local\_DECODE_FILES.txt
2017-05-10 08:20 - 2017-05-10 08:20 - 00000559 _____ C:\Users\7\AppData\_DECODE_FILES.txt
2017-05-10 08:20 - 2017-05-10 08:20 - 00000559 _____ C:\Users\7\_DECODE_FILES.txt
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

10 мая, 2017

Готово.

Fixlog.txt

10 мая, 2017

каким образом они это сделали ?

Уточните не открывалось ли вложение из подозрительного письма? Сохранилось ли письмо? Был ли доступ через RDP? Если да, смените пароль.

10 мая, 2017

Честно говоря первые 2 вопроса не понял, если открывал ли я это письмо (txt) с требованиями от хакеров, то да и заходил даже на адреса, те что там указаны были. Насчет удаленного доступа не знаю. Может это у провайдера нужно уточнить ? Единственное, что знаю смотрел я ютюб и тут началось, кулер на процессоре начал шуметь, я еще так пару минут подождал, потом решил проверить и обнаружил, что почти все файлы изменены. Но там у меня игры в основном, то не жалко, мне бы пароли восстановить это главное.
А да и были у меня подозрения, что по локальной сети от провайдера есть ресурс, там ТВ, видео, музыка и прочее, так вот там нужно было в хроме переключить значение, что бы html не был главным, потому что у них там всё на flash работает. Не знаю может от этого пошла эта беда.
KIS 2016 и Malwarebytes ничего не нашли, др вэб аналогично.

Изменено 10 мая, 2017 пользователем lesnoychelovek

10 мая, 2017

Часто подобная ситуация возникает когда пользователь открывает вложение из письма от незнакомого адресата (в почте).

мне бы пароли восстановить это главное.

О каких паролях идет речь?

10 мая, 2017

в txt записаны пароли от аккаунтов на сайтах, стим, уплей.

Так что мне пароли менять для доступа в инет или искать вирус ? А расшифровать чем данные, возможно такое ?

Изменено 10 мая, 2017 пользователем lesnoychelovek

10 мая, 2017

мне пароли менять для доступа в инет

Меняйте, не помешает.

А расшифровать чем данные, возможно такое ?

Пока определенно ответить не можем, мало данных.

10 мая, 2017

Это что то новое ? Блин вот же мне повезло... Может вам еще какие то данные надо с компа ?

10 мая, 2017

пользователь открывает вложение из письма от незнакомого адресата (в почте).

Если сохранилось письмо и вложение, которое предположительно было запущено.

10 мая, 2017

Не почтой не пользовался. Ничего не открывал. Вчера свежую ОС установил до того была зараженная трояны и еще какие то генерик, антивирусами не пользовался, уже пототм когда снова кулер зашумел я обнаружил в диспетчере разные непонятные процессы, скачал Касперского, тот нашел вируса, удалил, вроде все было норм, и вот думаю для пущей чистоты переставлю ОСь и антивирус не ставил, и вот такая фигня случилась, но как показывают утилиты, что заразы нет, значит может быть что трояны украли мои пароли на подключение, так что ли ? За вчерашний день только на ютюбе был и на локальных(от провайдера) ресурах.

ОС менять стоит или нет после смены пароля ? Сейчас поеду к провайдеру.

10 мая, 2017

Вчера свежую ОС установил до того была зараженная

Делали полное форматирование?

ОС менять стоит или нет после смены пароля ?

Нет.

10 мая, 2017

Провайдер говорит, что зная пароль на подключение, подключится невозможно к компу ? Я так вообще далекий. Но все равно пароль сменю. С расшифровкой они тоже помочь ничем не могут. Да и вообще не особо компетентной показался мне этот сотрудник.

Удалял раздел С и скрытый, я обычно так делаю и потом заново создавал, я даже не знаю полное это или нет ? А сейчас наверно придется все винты почистить ?

Да перед переустановкой из карантина касперкского удалил все эти вируса.

Изменено 10 мая, 2017 пользователем lesnoychelovek

Шифровальщик

Рекомендуемые сообщения

lesnoychelovek

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

lesnoychelovek

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

lesnoychelovek

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

lesnoychelovek

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

lesnoychelovek

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

lesnoychelovek

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

lesnoychelovek

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

lesnoychelovek

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum