Перейти к содержанию

Файлы зашифрованы .pscrypt

DmitryRabota
 Share

Рекомендуемые сообщения

DmitryRabota Новичок

DmitryRabota

Опубликовано
Опубликовано (изменено)

у меня такая же проблема. провел сканирование  Farbar Recovery Scan Tool 

файлы отчета прикрепил в архиве

отчет.rar

Изменено пользователем DmitryRabota
Ссылка на комментарий
Поделиться на другие сайты
DmitryRabota Новичок

DmitryRabota

Опубликовано
  • Автор
Опубликовано (изменено)

Утром обнаружил на диске зашифрованы все файлы  .pscrypt

 


 отчет  Farbar Recovery Scan Tool 

 

пример зашифрованнного файла и требования оплаты.rar

CollectionLog-2017.06.22-16.03.zip

Изменено пользователем DmitryRabota
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

отчет  Farbar Recovery Scan Tool

Не прикрепили.
Ссылка на комментарий
Поделиться на другие сайты
DmitryRabota Новичок

DmitryRabota

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

отчет  Farbar Recovery Scan Tool

Не прикрепили.

 

 

отчет  Farbar Recovery Scan Tool

отчет.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\Дмитрий\appdata\roaming\winrar\winrarstart.exe');
 QuarantineFile('C:\Users\Дмитрий\AppData\Roaming\WinRAR\WinRARStart.exe','');
 DeleteFile('C:\Users\Дмитрий\AppData\Roaming\WinRAR\WinRARStart.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{2AF67C5D-769B-E65D-A7D0-A74365D0BEBF}');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

Ссылка на комментарий
Поделиться на другие сайты
DmitryRabota Новичок

DmitryRabota

Опубликовано
  • Автор
Опубликовано

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\Дмитрий\appdata\roaming\winrar\winrarstart.exe');
 QuarantineFile('C:\Users\Дмитрий\AppData\Roaming\WinRAR\WinRARStart.exe','');
 DeleteFile('C:\Users\Дмитрий\AppData\Roaming\WinRAR\WinRARStart.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{2AF67C5D-769B-E65D-A7D0-A74365D0BEBF}');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

файл quarantine.zip не создался

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2762295625-96904041-263721795-1001\...\Run: [{2AF67C5D-769B-E65D-A7D0-A74365D0BEBF}] => C:\Users\Дмитрий\AppData\Roaming\WinRAR\WinRARStart.exe [360448 2016-05-25] ()
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2017-06-22 10:32 - 2017-06-22 10:32 - 00008959 _____ C:\Users\Public\Paxynok.html
2017-06-22 10:32 - 2017-06-22 10:32 - 00008959 _____ C:\Users\Public\Downloads\Paxynok.html
2017-06-22 10:32 - 2017-06-22 10:32 - 00008959 _____ C:\Users\Public\Documents\Paxynok.html
2017-06-22 10:29 - 2017-06-22 10:29 - 00008959 _____ C:\Users\Дмитрий\AppData\Local\Paxynok.html
2017-06-22 10:27 - 2017-06-22 10:27 - 00008959 _____ C:\Users\Дмитрий\Paxynok.html
2017-06-22 10:27 - 2017-06-22 10:27 - 00008959 _____ C:\Users\Дмитрий\Downloads\Paxynok.html
2017-06-22 10:27 - 2017-06-22 10:27 - 00008959 _____ C:\Users\Дмитрий\Documents\Paxynok.html
2017-06-22 10:27 - 2017-06-22 10:27 - 00008959 _____ C:\Users\Дмитрий\Desktop\Paxynok.html
2017-06-22 10:27 - 2017-06-22 10:27 - 00008959 _____ C:\Users\Дмитрий\AppData\Roaming\Paxynok.html
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Очистка завершена. Расшифровки пока нет.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Шансов очень мало.

Ознакомьтесь со статьей.

Поимка злодеев может помочь.

 

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.17031 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя включен

Автоматическое обновление отключено

------------------------------- [ HotFix ] --------------------------------

HotFix KB4012213 Внимание! Скачать обновления

HotFix KB4012216 Внимание! Скачать обновления

HotFix KB4019213 Внимание! Скачать обновления

HotFix KB4022717 Внимание! Скачать обновления

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.01 (64-разрядная) v.5.01.0 Внимание! Скачать обновления

TeamViewer 11 v.11.0.65452 Внимание! Скачать обновления

---------------------------- [ ProxyAndVPNs ] -----------------------------

TunnelBear v.3.0.29.0 Внимание! Это приложение может отображать рекламу на посещаемых страницах.

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.0.43580 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 23 NPAPI v.23.0.0.162 Внимание! Скачать обновления

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 45.0.1 (x86 ru) v.45.0.1 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Firefox!^

---------------------------- [ UnwantedApps ] -----------------------------

SpyHunter 4 v.4.26.12.4815 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Прочтите Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Azward
      Зашифровались файлы hop_dec
      От Azward
      Добрый день! 
      Зашифровались все файлы на рабочей машине. В том числе 1с базы.
      [MJ-CR7920861453](decodehop@gmail.com )   Все файлы с таким расширением.
      Отправил во вложении Архив с файлом, и логи FRST
      Надеемся на вашу помощь. Стоял касперский Small office security. Не помог. Сейчас вовсе исчез.
      virus.rar Addition.txt FRST.txt
    • Andrei Butyrchyk
      Зашифрованы файлы с расширением .mammn
      От Andrei Butyrchyk
      Здравствуйте!
      Отработал на машине шифровальщик. До конца отработать, по всей видимости, не успел так как нет записки и не все файлы были зашифрованы.
      Есть папки с RSADecryptKey и предположительно сам файл шифровальщик.
      FRST.zip EncryptedFiles.zip
    • Лариса B
      King зашифровал файлы организации
      От Лариса B
      Добрый день!
      В локальную сеть попал шифровальщик.  Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      К сожалению пока не удалось понять, как он попал и где нахоится источник(. 
      Но сегодня  ночью, по времени - все файлы  оказались зашифрованы. 

      Прикладывают  файлы, согласно правилам зашифрованные файлы + требования.rar

      Подскажите пож-та 
      1. Как найти источник   заражения, сам шифровальщик, какие есть методы 
      2. Как можно дешифровать  данные файлы 
       
      Спасибо большое!
    • specxpilot
      Вирус зашифровал файлы с расширением .iw8
      От specxpilot
      Текст сообщения 
      !!!Your files have been encrypted!!!
      To recover them, please contact us via email:
      Write the ID in the email subject
      ID: E3EA701E87735CC1E8DD980E923F89D4
      Email 1: Datablack0068@gmail.com
      Email 2: Datablack0068@cyberfear.com
      Telegram: @Datablack0068

      To ensure decryption you can send 1-2 files (less than 1MB) we will decrypt it for free.
      IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLED PRICE.
      WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.
    • hobbit86
      King Ransomware зашифровал файлы организации
      От hobbit86
      Добрый день!
      На сервер 1С попал шифровальщик King Ransomware. Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      Проблема появилась после посещения специалиста обслуживающей 1С компании по Anydesk.
       
      FRST.txt Virus.rar Encrypted.rar
×
×
  • Создать...