Юлия ДНР 0 Опубликовано 28 мая, 2017 Share Опубликовано 28 мая, 2017 24.05.17 не открывая вообще браузеров, автоматически произвела обновление украинской программы для подачи отчетности в налоговую и пенсионный - M.E.Doc, после запуска обновлений поняла, что с ними поймала и вирус шифровальщик. Все файлы теперь имеют расширение ~xdata~. Почитав подобные темы, креплю файлы которые также могут пригодиться - FRST.txt и Addition.txt созданные с помощью Farbar Recovery Scan Tool (оба находятся в архиве "FRST_и_Addition"). Креплю также зашифрованный файл и оригинальный, который был сохранён на съемном носителе, читала, что такие образцы нужны для дешифровки (архив - Заражённый и оригинал). Прошу помощи. И, если можно, объяснение как для тугодумов, что делать дальше И подскажите, планируется ли создать дешифровщик для этой гадости и просто стоит подождать или со всеми файлами можно попрощаться и удалить? Заранее благодарю. Юлия.CollectionLog-2017.05.28-18.58.zip FRST_и_Addition.rar Заражённый и оригинал.rar Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 28 мая, 2017 Share Опубликовано 28 мая, 2017 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: 2017-05-25 17:04 - 2015-04-14 23:53 - 00000000 ____D C:\Users\1\AppData\Local\Kometa 2017-05-25 17:04 - 2014-11-17 01:31 - 00000000 ____D C:\Users\1\AppData\Roaming\Baidu 2017-05-25 17:04 - 2014-11-17 01:24 - 00000000 ____D C:\Users\Все пользователи\Baidu 2016-02-17 18:22 - 2016-02-17 18:22 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper1038126955476119349.dll 2016-05-20 16:29 - 2016-05-20 16:29 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper1450832456110734037.dll 2016-05-20 16:27 - 2016-05-20 16:27 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper1620028985935378716.dll 2016-02-17 17:37 - 2016-02-17 17:37 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper1631044553500232919.dll 2016-04-29 15:31 - 2016-04-29 15:31 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper1704456109152800926.dll 2016-06-20 20:28 - 2016-06-20 20:28 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper1744901761705863921.dll 2016-04-29 09:42 - 2016-04-29 09:42 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper1830048816984578564.dll 2016-04-29 16:50 - 2016-04-29 16:50 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper1958132678625649462.dll 2016-02-17 17:42 - 2016-02-17 17:42 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper200355311620800806.dll 2016-02-17 18:07 - 2016-02-17 18:07 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper2108609478406743055.dll 2016-03-30 20:28 - 2016-03-30 20:28 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper2348022405901267551.dll 2016-02-10 19:35 - 2016-02-10 19:35 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper2394055248209298829.dll 2016-03-28 17:47 - 2016-03-28 17:47 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper2473407453753337749.dll 2016-03-28 17:45 - 2016-03-28 17:45 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper2621660076799122239.dll 2016-05-20 16:29 - 2016-05-20 16:29 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper2627522943666707439.dll 2016-01-27 22:10 - 2016-01-27 22:10 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper2873211049614746026.dll 2016-05-18 17:08 - 2016-05-18 17:08 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper289938259740257388.dll 2016-02-23 10:13 - 2016-02-23 10:13 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper2909133110117710938.dll 2016-03-19 10:17 - 2016-03-19 10:17 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper3048845100652167500.dll 2016-03-18 17:17 - 2016-03-18 17:17 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper3172330112909238092.dll 2016-02-20 17:59 - 2016-02-20 17:59 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper3314266055064915440.dll 2016-02-22 09:32 - 2016-02-22 09:32 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper3342026869430263376.dll 2016-05-20 16:21 - 2016-05-20 16:21 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper3831252487696170502.dll 2016-02-17 17:40 - 2016-02-17 17:40 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper4050992731067248437.dll 2016-02-22 14:29 - 2016-02-22 14:29 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper4124717867268605463.dll 2016-04-29 09:30 - 2016-04-29 09:30 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper4199418499245189956.dll 2016-04-29 09:38 - 2016-04-29 09:38 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper4215375161643281637.dll 2016-06-20 20:24 - 2016-06-20 20:24 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper4238679096341507790.dll 2016-03-30 20:42 - 2016-03-30 20:42 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper4322984032589956854.dll 2016-03-30 21:01 - 2016-03-30 21:01 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper4357862126251455590.dll 2016-04-29 15:59 - 2016-04-29 15:59 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper4666163592647100551.dll 2016-06-20 20:29 - 2016-06-20 20:29 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper4925623122613286599.dll 2016-03-18 17:16 - 2016-03-18 17:16 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper5382743680301344880.dll 2016-02-17 17:09 - 2016-02-17 17:09 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper5402085041848646540.dll 2016-03-28 17:47 - 2016-03-28 17:47 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper5545371660264786238.dll 2016-07-03 15:42 - 2016-07-03 15:42 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper5703347824413810107.dll 2016-03-30 21:01 - 2016-03-30 21:01 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper5865476585452986277.dll 2016-05-20 16:27 - 2016-05-20 16:27 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper5951875421356855000.dll 2016-05-18 18:06 - 2016-05-18 18:06 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper6019219723828001413.dll 2016-03-18 17:16 - 2016-03-18 17:16 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper6033924291043564012.dll 2016-06-20 20:18 - 2016-06-20 20:18 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper6065461573444704571.dll 2016-03-30 20:45 - 2016-03-30 20:45 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper6248882240497175015.dll 2016-02-22 14:07 - 2016-02-22 14:07 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper6429015633374110666.dll 2016-03-30 20:51 - 2016-03-30 20:51 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper6452083188819513742.dll 2016-01-27 22:42 - 2016-01-27 22:42 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper6651997127515415886.dll 2016-02-22 09:39 - 2016-02-22 09:39 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper6795740995761767889.dll 2016-04-29 15:59 - 2016-04-29 15:59 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper6924230452198261128.dll 2016-02-17 17:34 - 2016-02-17 17:34 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper707395092468754122.dll 2016-01-27 21:04 - 2016-01-27 21:04 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper7173319085146425756.dll 2016-07-03 15:33 - 2016-07-03 15:33 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper7255649242888658012.dll 2016-04-29 09:39 - 2016-04-29 09:39 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper73651166395966052.dll 2016-04-29 15:55 - 2016-04-29 15:55 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper7462770800933757301.dll 2016-04-29 10:00 - 2016-04-29 10:00 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper7507268947793999912.dll 2016-06-20 20:24 - 2016-06-20 20:24 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper758434248912663960.dll 2016-04-29 15:54 - 2016-04-29 15:54 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper788221933311155573.dll 2016-03-18 17:17 - 2016-03-18 17:17 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper8284961290498821682.dll 2016-05-22 19:53 - 2016-05-22 19:53 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper831335685275977319.dll 2016-04-29 16:21 - 2016-04-29 16:21 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper8423812540964102881.dll 2016-03-18 16:50 - 2016-03-18 16:50 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper8575806096390431163.dll 2016-01-27 22:09 - 2016-01-27 22:09 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper8576475126165470853.dll 2016-02-22 09:35 - 2016-02-22 09:35 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper8778800013113203670.dll 2016-03-30 20:19 - 2016-03-30 20:19 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper8805148785973072122.dll 2016-02-17 17:40 - 2016-02-17 17:40 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper9048283825889798188.dll 2016-04-29 16:21 - 2016-04-29 16:21 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper9058552145842531555.dll 2016-03-18 16:54 - 2016-03-18 16:54 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper9071962864826577741.dll 2016-04-29 10:00 - 2016-04-29 10:00 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper9132847310163704332.dll 2016-02-22 09:38 - 2016-02-22 09:38 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper9159432806922730757.dll 2016-03-30 20:25 - 2016-03-30 20:25 - 0394240 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper9192584479984372573.dll 2016-02-22 09:26 - 2016-02-22 09:26 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper9197880237571687385.dll 2016-02-10 19:44 - 2016-02-10 19:44 - 0175104 _____ () C:\Users\1\AppData\Local\Temp\TokenWrapper966907629011341433.dll Task: {E6316975-7583-4F59-AB5B-50CB7F00180E} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe <==== ATTENTION Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание, что будет выполнена перезагрузка компьютера. Ссылка на сообщение Поделиться на другие сайты
Юлия ДНР 0 Опубликовано 29 мая, 2017 Автор Share Опубликовано 29 мая, 2017 Спасибо. Креплю Fixlog.txtПодскажите, стоит ли в будущем ждать дешифровщик этого вируса или всем файлам кирдык? Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 29 мая, 2017 Share Опубликовано 29 мая, 2017 Файлы не спасти. Я пытаюсь понять, как шифратор попадает на компьютер пострадавших. А потому есть вопросы к Вам. 1. Программа для подготовки документов для налоговой у Вас установлена лицензионная? 2. Запуск обновления производился из самой программы? Она сама проверяет обновление или для этого нужно выбрать что-то в меню программы? Ссылка на сообщение Поделиться на другие сайты
Юлия ДНР 0 Опубликовано 30 мая, 2017 Автор Share Опубликовано 30 мая, 2017 (((((( уууу .... Как жаль... Программа M.E.Doc - лицензионная, платная, есть ключи для подписи и печати - через неё треть украины отправляют всю отчетность в пенсионный, налоговую, статистику и т.д. Обновления тянет сама. Можно пользоваться и демо-версией (на сайте доступна версия 10.01.180), и из неё затянуть обновления. Вот сайт с её обновлениями http://www.me-doc.com.ua/pages/obnovlenie.php/forum , вирус попал когда автоматически затянулись обновления от 17.05.17 (это будет версия 10.01.181 - 182). Причем теперь я её скачала ещё раз с сайта, и обновления через браузер скачала с сайта и не автоматически их установила, а вручную - ничего не испортилось... Всё загрузилось нормально. Креплю файлы скрина экрана с ярлычком программы (1) и с картинкой где обычно грузятся обновления (2), когда они есть, там появляется цифра с количеством обновлений, жму на неё и все тянется автоматически, после завершения загрузок в конце появляется окошко "Готово", ставлю галочку "Запустить программу" и жму Готово. И тут то всё и поломалось(((( Скрины В любом случае, СПАСИБО за всё. Прочитала, что нужно установить Kaspersky Anti-Ransomware Tool, чтобы больше не поймать шифровальщика, скачала его у Вас, но он не грузится - пишет "Невозможно открыть этот установочный пакет. Обратитесь к поставщику программы, чтобы убедиться в правильности этого пакета установщика Windows". Это потому что у меня "левый" Windows (я его не покупала, мне его бесплатно поставили)? Скрины.rar Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 30 мая, 2017 Share Опубликовано 30 мая, 2017 Доступ по RDP к этому компьютеру был открыт? Злоумышленники слили ключ расшифровки. Ожидайте появления дешифратора. 1 Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 31 мая, 2017 Share Опубликовано 31 мая, 2017 http://www.nomoreransom.org/uploads/RakhniDecryptor.zip пробуйте 1 1 Ссылка на сообщение Поделиться на другие сайты
Олег Белый 0 Опубликовано 1 июня, 2017 Share Опубликовано 1 июня, 2017 Спасибо большое за утилиту, всё расшифровано. Ссылка на сообщение Поделиться на другие сайты
Юлия ДНР 0 Опубликовано 1 июня, 2017 Автор Share Опубликовано 1 июня, 2017 Ураааа!!! Работает, спасибо!!! )))) Касперский - ЛУЧШИЙ!!! Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти