lesnoychelovek 0 Опубликовано 10 мая, 2017 Share Опубликовано 10 мая, 2017 (изменено) Здравствуйте, сегодня утром шифровальщик изменил расширения на UIWIX и с моим личным id для вымогателя. Пример прикрепил, лог тоже и требования хакеров. Вообще не пойму каким образом они это сделали ?Надеюсь на помощь, в гугле сегодня только пару таких же ситуаций нашел, походу какая то новая зараза. CollectionLog-2017.05.10-10.59.zip _DECODE_FILES.txt Изменено 10 мая, 2017 пользователем lesnoychelovek Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 10 мая, 2017 Share Опубликовано 10 мая, 2017 Здравствуйте! Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. + Упакуйте и прикрепите пару небольших поврежденных офисных документов. Цитата Ссылка на сообщение Поделиться на другие сайты
lesnoychelovek 0 Опубликовано 10 мая, 2017 Автор Share Опубликовано 10 мая, 2017 (изменено) Спасибо за быстрый ответ ! из офисных всё что было прислал там правда еще пароли мои в txt но не знаю присылать или нет ?Все пусковые изменились в такое название пример Google Chrome.lnk._3011706496.UIWIX, O&O Defrag.lnk._3011706496.UIWIX ну и т.д. Есть еще pdf один но он не грузится там 11 Мб chia-01.7z chia-02.7z Addition.txt FRST.txt Shortcut.txt форматирования текста.txt._3011706496.UIWIX.7z Изменено 10 мая, 2017 пользователем lesnoychelovek Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 10 мая, 2017 Share Опубликовано 10 мая, 2017 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: 2017-05-10 08:20 - 2017-05-10 08:20 - 00000559 _____ C:\Windows\system32\_DECODE_FILES.txt 2017-05-10 08:20 - 2017-05-10 08:20 - 00000559 _____ C:\Users\Public\Desktop\_DECODE_FILES.txt 2017-05-10 08:20 - 2017-05-10 08:20 - 00000559 _____ C:\Users\Default\AppData\Local\_DECODE_FILES.txt 2017-05-10 08:20 - 2017-05-10 08:20 - 00000559 _____ C:\Users\Default\AppData\_DECODE_FILES.txt 2017-05-10 08:20 - 2017-05-10 08:20 - 00000559 _____ C:\Users\Default User\AppData\Local\_DECODE_FILES.txt 2017-05-10 08:20 - 2017-05-10 08:20 - 00000559 _____ C:\Users\Default User\AppData\_DECODE_FILES.txt 2017-05-10 08:20 - 2017-05-10 08:20 - 00000559 _____ C:\Users\7\AppData\Local\Apps\_DECODE_FILES.txt 2017-05-10 08:20 - 2017-05-10 08:20 - 00000559 _____ C:\Users\7\AppData\Local\_DECODE_FILES.txt 2017-05-10 08:20 - 2017-05-10 08:20 - 00000559 _____ C:\Users\7\AppData\_DECODE_FILES.txt 2017-05-10 08:20 - 2017-05-10 08:20 - 00000559 _____ C:\Users\7\_DECODE_FILES.txt Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
lesnoychelovek 0 Опубликовано 10 мая, 2017 Автор Share Опубликовано 10 мая, 2017 Готово. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 10 мая, 2017 Share Опубликовано 10 мая, 2017 каким образом они это сделали ?Уточните не открывалось ли вложение из подозрительного письма? Сохранилось ли письмо? Был ли доступ через RDP? Если да, смените пароль. Цитата Ссылка на сообщение Поделиться на другие сайты
lesnoychelovek 0 Опубликовано 10 мая, 2017 Автор Share Опубликовано 10 мая, 2017 (изменено) Честно говоря первые 2 вопроса не понял, если открывал ли я это письмо (txt) с требованиями от хакеров, то да и заходил даже на адреса, те что там указаны были. Насчет удаленного доступа не знаю. Может это у провайдера нужно уточнить ? Единственное, что знаю смотрел я ютюб и тут началось, кулер на процессоре начал шуметь, я еще так пару минут подождал, потом решил проверить и обнаружил, что почти все файлы изменены. Но там у меня игры в основном, то не жалко, мне бы пароли восстановить это главное.А да и были у меня подозрения, что по локальной сети от провайдера есть ресурс, там ТВ, видео, музыка и прочее, так вот там нужно было в хроме переключить значение, что бы html не был главным, потому что у них там всё на flash работает. Не знаю может от этого пошла эта беда.KIS 2016 и Malwarebytes ничего не нашли, др вэб аналогично. Изменено 10 мая, 2017 пользователем lesnoychelovek Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 10 мая, 2017 Share Опубликовано 10 мая, 2017 Часто подобная ситуация возникает когда пользователь открывает вложение из письма от незнакомого адресата (в почте). мне бы пароли восстановить это главное.О каких паролях идет речь? Цитата Ссылка на сообщение Поделиться на другие сайты
lesnoychelovek 0 Опубликовано 10 мая, 2017 Автор Share Опубликовано 10 мая, 2017 (изменено) в txt записаны пароли от аккаунтов на сайтах, стим, уплей. Так что мне пароли менять для доступа в инет или искать вирус ? А расшифровать чем данные, возможно такое ? Изменено 10 мая, 2017 пользователем lesnoychelovek Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 10 мая, 2017 Share Опубликовано 10 мая, 2017 мне пароли менять для доступа в инетМеняйте, не помешает. А расшифровать чем данные, возможно такое ?Пока определенно ответить не можем, мало данных. Цитата Ссылка на сообщение Поделиться на другие сайты
lesnoychelovek 0 Опубликовано 10 мая, 2017 Автор Share Опубликовано 10 мая, 2017 Это что то новое ? Блин вот же мне повезло... Может вам еще какие то данные надо с компа ? Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 10 мая, 2017 Share Опубликовано 10 мая, 2017 пользователь открывает вложение из письма от незнакомого адресата (в почте).Если сохранилось письмо и вложение, которое предположительно было запущено. Цитата Ссылка на сообщение Поделиться на другие сайты
lesnoychelovek 0 Опубликовано 10 мая, 2017 Автор Share Опубликовано 10 мая, 2017 Не почтой не пользовался. Ничего не открывал. Вчера свежую ОС установил до того была зараженная трояны и еще какие то генерик, антивирусами не пользовался, уже пототм когда снова кулер зашумел я обнаружил в диспетчере разные непонятные процессы, скачал Касперского, тот нашел вируса, удалил, вроде все было норм, и вот думаю для пущей чистоты переставлю ОСь и антивирус не ставил, и вот такая фигня случилась, но как показывают утилиты, что заразы нет, значит может быть что трояны украли мои пароли на подключение, так что ли ? За вчерашний день только на ютюбе был и на локальных(от провайдера) ресурах. ОС менять стоит или нет после смены пароля ? Сейчас поеду к провайдеру. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 10 мая, 2017 Share Опубликовано 10 мая, 2017 Вчера свежую ОС установил до того была зараженнаяДелали полное форматирование? ОС менять стоит или нет после смены пароля ?Нет. Цитата Ссылка на сообщение Поделиться на другие сайты
lesnoychelovek 0 Опубликовано 10 мая, 2017 Автор Share Опубликовано 10 мая, 2017 (изменено) Провайдер говорит, что зная пароль на подключение, подключится невозможно к компу ? Я так вообще далекий. Но все равно пароль сменю. С расшифровкой они тоже помочь ничем не могут. Да и вообще не особо компетентной показался мне этот сотрудник. Удалял раздел С и скрытый, я обычно так делаю и потом заново создавал, я даже не знаю полное это или нет ? А сейчас наверно придется все винты почистить ? Да перед переустановкой из карантина касперкского удалил все эти вируса. Изменено 10 мая, 2017 пользователем lesnoychelovek Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.