nulib 0 Опубликовано 31 мая, 2017 Share Опубликовано 31 мая, 2017 Пользователь открывал ссылки по обучению, подхватил вирус. Все зашифрованные файлы файлы получили расширение .crypted000007. Появилось много файлов с требованием выкупа следующего содержания: Baши файлы былu зашифpовaны. Чmобы paсшифpоваmь uх, Baм неoбходuмо отпрaвить кoд: 50F571CE42E70C97A22C|0 на элеkmpoнный адpеc gervasiy.menyaev@gmail.com . Далее вы получите вcе неoбxoдuмыe uнcmpуkцuu. Поnыmки расшuфpовать сaмocmoятельно не прuведут нu k чeмy, kpоме безвозвратнoй nоmеpи uнфoрмации. Еcлu вы всё жe xотumе попыmаться, mo nредваpuтельнo сдeлaйте peзeрвныe кoпиu фaйлов, uначе в cлучае иx измeнения расшuфрoвkа cтaнeт нeвoзможной нu при каkux yслoвияx. Еcли вы не получили oтвета no вышeуказанному адpесу в mечениe 48 часов (и moлькo в эmoм случае!), вocпoльзyйтecь фоpмой обрamной cвязи. Эmо можнo cделaть двyмя cпособамu: 1) Ckачайтe u уcmанoвиme Tor Browser пo ccылkе: https://www.torproject.org/download/download-easy.html.en B aдрecной стpoкe Tor Browser-а ввeдитe aдpеc: http://cryptsen7fo43rr6.onion/ и нажмumе Enter. 3arрyзиmcя cmрaнuца c фоpмoй oбpaтнoй cвязu. 2) B любом бpayзepе пеpейдиme пo одному uз aдрecов: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Компьютер был отключен от сети, загружен в безопасный режим. Запустили autologger (логи во вложении) CollectionLog-2017.05.31-17.39.zip Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 31 мая, 2017 Share Опубликовано 31 мая, 2017 Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe', ''); QuarantineFileF('C:\Documents and Settings\All Users\Application Data\Windows\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe', '32'); DeleteFile('C:\README9.txt'); DeleteFile('C:\README8.txt'); DeleteFile('C:\README7.txt'); DeleteFile('C:\README6.txt'); DeleteFile('C:\README5.txt'); DeleteFile('C:\README4.txt'); DeleteFile('C:\README3.txt'); DeleteFile('C:\README2.txt'); DeleteFile('C:\README10.txt'); DeleteFileMask('C:\Documents and Settings\All Users\Application Data\Windows\', '*', true); DeleteDirectory('C:\Documents and Settings\All Users\Application Data\Windows\'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в АВЗ:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам из обычного режима. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти