Юлия ДНР Опубликовано 28 мая, 2017 Share Опубликовано 28 мая, 2017 24.05.17 не открывая вообще браузеров, автоматически произвела обновление украинской программы для подачи отчетности в налоговую и пенсионный - M.E.Doc, после запуска обновлений поняла, что с ними поймала и вирус шифровальщик. Все файлы теперь имеют расширение ~xdata~. Почитав подобные темы, креплю файлы которые также могут пригодиться - FRST.txt и Addition.txt созданные с помощью Farbar Recovery Scan Tool (оба находятся в архиве "FRST_и_Addition"). Креплю также зашифрованный файл и оригинальный, который был сохранён на съемном носителе, читала, что такие образцы нужны для дешифровки (архив - Заражённый и оригинал). Прошу помощи. И, если можно, объяснение как для тугодумов, что делать дальше И подскажите, планируется ли создать дешифровщик для этой гадости и просто стоит подождать или со всеми файлами можно попрощаться и удалить? Заранее благодарю. Юлия.CollectionLog-2017.05.28-18.58.zip FRST_и_Addition.rar Заражённый и оригинал.rar Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 28 мая, 2017 Share Опубликовано 28 мая, 2017 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: 2017-05-25 17:04 - 2015-04-14 23:53 - 00000000 ____D C:\Users\1\AppData\Local\Kometa 2017-05-25 17:04 - 2014-11-17 01:31 - 00000000 ____D C:\Users\1\AppData\Roaming\Baidu 2017-05-25 17:04 - 2014-11-17 01:24 - 00000000 ____D C:\Users\Все пользователи\Baidu 2016-02-17 18:22 - 2016-02-17 18:22 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper1038126955476119349.dll 2016-05-20 16:29 - 2016-05-20 16:29 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper1450832456110734037.dll 2016-05-20 16:27 - 2016-05-20 16:27 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper1620028985935378716.dll 2016-02-17 17:37 - 2016-02-17 17:37 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper1631044553500232919.dll 2016-04-29 15:31 - 2016-04-29 15:31 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper1704456109152800926.dll 2016-06-20 20:28 - 2016-06-20 20:28 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper1744901761705863921.dll 2016-04-29 09:42 - 2016-04-29 09:42 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper1830048816984578564.dll 2016-04-29 16:50 - 2016-04-29 16:50 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper1958132678625649462.dll 2016-02-17 17:42 - 2016-02-17 17:42 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper200355311620800806.dll 2016-02-17 18:07 - 2016-02-17 18:07 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper2108609478406743055.dll 2016-03-30 20:28 - 2016-03-30 20:28 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper2348022405901267551.dll 2016-02-10 19:35 - 2016-02-10 19:35 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper2394055248209298829.dll 2016-03-28 17:47 - 2016-03-28 17:47 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper2473407453753337749.dll 2016-03-28 17:45 - 2016-03-28 17:45 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper2621660076799122239.dll 2016-05-20 16:29 - 2016-05-20 16:29 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper2627522943666707439.dll 2016-01-27 22:10 - 2016-01-27 22:10 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper2873211049614746026.dll 2016-05-18 17:08 - 2016-05-18 17:08 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper289938259740257388.dll 2016-02-23 10:13 - 2016-02-23 10:13 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper2909133110117710938.dll 2016-03-19 10:17 - 2016-03-19 10:17 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper3048845100652167500.dll 2016-03-18 17:17 - 2016-03-18 17:17 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper3172330112909238092.dll 2016-02-20 17:59 - 2016-02-20 17:59 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper3314266055064915440.dll 2016-02-22 09:32 - 2016-02-22 09:32 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper3342026869430263376.dll 2016-05-20 16:21 - 2016-05-20 16:21 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper3831252487696170502.dll 2016-02-17 17:40 - 2016-02-17 17:40 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper4050992731067248437.dll 2016-02-22 14:29 - 2016-02-22 14:29 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper4124717867268605463.dll 2016-04-29 09:30 - 2016-04-29 09:30 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper4199418499245189956.dll 2016-04-29 09:38 - 2016-04-29 09:38 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper4215375161643281637.dll 2016-06-20 20:24 - 2016-06-20 20:24 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper4238679096341507790.dll 2016-03-30 20:42 - 2016-03-30 20:42 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper4322984032589956854.dll 2016-03-30 21:01 - 2016-03-30 21:01 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper4357862126251455590.dll 2016-04-29 15:59 - 2016-04-29 15:59 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper4666163592647100551.dll 2016-06-20 20:29 - 2016-06-20 20:29 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper4925623122613286599.dll 2016-03-18 17:16 - 2016-03-18 17:16 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper5382743680301344880.dll 2016-02-17 17:09 - 2016-02-17 17:09 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper5402085041848646540.dll 2016-03-28 17:47 - 2016-03-28 17:47 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper5545371660264786238.dll 2016-07-03 15:42 - 2016-07-03 15:42 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper5703347824413810107.dll 2016-03-30 21:01 - 2016-03-30 21:01 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper5865476585452986277.dll 2016-05-20 16:27 - 2016-05-20 16:27 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper5951875421356855000.dll 2016-05-18 18:06 - 2016-05-18 18:06 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper6019219723828001413.dll 2016-03-18 17:16 - 2016-03-18 17:16 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper6033924291043564012.dll 2016-06-20 20:18 - 2016-06-20 20:18 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper6065461573444704571.dll 2016-03-30 20:45 - 2016-03-30 20:45 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper6248882240497175015.dll 2016-02-22 14:07 - 2016-02-22 14:07 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper6429015633374110666.dll 2016-03-30 20:51 - 2016-03-30 20:51 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper6452083188819513742.dll 2016-01-27 22:42 - 2016-01-27 22:42 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper6651997127515415886.dll 2016-02-22 09:39 - 2016-02-22 09:39 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper6795740995761767889.dll 2016-04-29 15:59 - 2016-04-29 15:59 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper6924230452198261128.dll 2016-02-17 17:34 - 2016-02-17 17:34 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper707395092468754122.dll 2016-01-27 21:04 - 2016-01-27 21:04 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper7173319085146425756.dll 2016-07-03 15:33 - 2016-07-03 15:33 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper7255649242888658012.dll 2016-04-29 09:39 - 2016-04-29 09:39 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper73651166395966052.dll 2016-04-29 15:55 - 2016-04-29 15:55 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper7462770800933757301.dll 2016-04-29 10:00 - 2016-04-29 10:00 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper7507268947793999912.dll 2016-06-20 20:24 - 2016-06-20 20:24 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper758434248912663960.dll 2016-04-29 15:54 - 2016-04-29 15:54 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper788221933311155573.dll 2016-03-18 17:17 - 2016-03-18 17:17 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper8284961290498821682.dll 2016-05-22 19:53 - 2016-05-22 19:53 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper831335685275977319.dll 2016-04-29 16:21 - 2016-04-29 16:21 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper8423812540964102881.dll 2016-03-18 16:50 - 2016-03-18 16:50 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper8575806096390431163.dll 2016-01-27 22:09 - 2016-01-27 22:09 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper8576475126165470853.dll 2016-02-22 09:35 - 2016-02-22 09:35 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper8778800013113203670.dll 2016-03-30 20:19 - 2016-03-30 20:19 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper8805148785973072122.dll 2016-02-17 17:40 - 2016-02-17 17:40 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper9048283825889798188.dll 2016-04-29 16:21 - 2016-04-29 16:21 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper9058552145842531555.dll 2016-03-18 16:54 - 2016-03-18 16:54 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper9071962864826577741.dll 2016-04-29 10:00 - 2016-04-29 10:00 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper9132847310163704332.dll 2016-02-22 09:38 - 2016-02-22 09:38 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper9159432806922730757.dll 2016-03-30 20:25 - 2016-03-30 20:25 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper9192584479984372573.dll 2016-02-22 09:26 - 2016-02-22 09:26 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper9197880237571687385.dll 2016-02-10 19:44 - 2016-02-10 19:44 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper966907629011341433.dll Task: {E6316975-7583-4F59-AB5B-50CB7F00180E} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe <==== ATTENTION Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание, что будет выполнена перезагрузка компьютера. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Юлия ДНР Опубликовано 29 мая, 2017 Автор Share Опубликовано 29 мая, 2017 Спасибо. Креплю Fixlog.txtПодскажите, стоит ли в будущем ждать дешифровщик этого вируса или всем файлам кирдык? Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 29 мая, 2017 Share Опубликовано 29 мая, 2017 Файлы не спасти. Я пытаюсь понять, как шифратор попадает на компьютер пострадавших. А потому есть вопросы к Вам. 1. Программа для подготовки документов для налоговой у Вас установлена лицензионная? 2. Запуск обновления производился из самой программы? Она сама проверяет обновление или для этого нужно выбрать что-то в меню программы? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Юлия ДНР Опубликовано 30 мая, 2017 Автор Share Опубликовано 30 мая, 2017 (((((( уууу .... Как жаль... Программа M.E.Doc - лицензионная, платная, есть ключи для подписи и печати - через неё треть украины отправляют всю отчетность в пенсионный, налоговую, статистику и т.д. Обновления тянет сама. Можно пользоваться и демо-версией (на сайте доступна версия 10.01.180), и из неё затянуть обновления. Вот сайт с её обновлениями http://www.me-doc.com.ua/pages/obnovlenie.php/forum , вирус попал когда автоматически затянулись обновления от 17.05.17 (это будет версия 10.01.181 - 182). Причем теперь я её скачала ещё раз с сайта, и обновления через браузер скачала с сайта и не автоматически их установила, а вручную - ничего не испортилось... Всё загрузилось нормально. Креплю файлы скрина экрана с ярлычком программы (1) и с картинкой где обычно грузятся обновления (2), когда они есть, там появляется цифра с количеством обновлений, жму на неё и все тянется автоматически, после завершения загрузок в конце появляется окошко "Готово", ставлю галочку "Запустить программу" и жму Готово. И тут то всё и поломалось(((( Скрины В любом случае, СПАСИБО за всё. Прочитала, что нужно установить Kaspersky Anti-Ransomware Tool, чтобы больше не поймать шифровальщика, скачала его у Вас, но он не грузится - пишет "Невозможно открыть этот установочный пакет. Обратитесь к поставщику программы, чтобы убедиться в правильности этого пакета установщика Windows". Это потому что у меня "левый" Windows (я его не покупала, мне его бесплатно поставили)? Скрины.rar Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 30 мая, 2017 Share Опубликовано 30 мая, 2017 Доступ по RDP к этому компьютеру был открыт? Злоумышленники слили ключ расшифровки. Ожидайте появления дешифратора. 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 31 мая, 2017 Share Опубликовано 31 мая, 2017 http://www.nomoreransom.org/uploads/RakhniDecryptor.zip пробуйте 1 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Олег Белый Опубликовано 1 июня, 2017 Share Опубликовано 1 июня, 2017 Спасибо большое за утилиту, всё расшифровано. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Юлия ДНР Опубликовано 1 июня, 2017 Автор Share Опубликовано 1 июня, 2017 Ураааа!!! Работает, спасибо!!! )))) Касперский - ЛУЧШИЙ!!! Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти