Перейти к содержанию

Зашифрованы все файлы вирусом-шифровальщиком SKUNK

adminrmz
 Поделиться

Рекомендуемые сообщения

adminrmz

adminrmz

Опубликовано
Опубликовано
На компьютере зашифрованы базы 1С и все документы вирусом-шифровальщиком SKUNK.

В каждой папке компьютера текстовый файл how_to_back_files, в котором вымогатель просит назначит цену за файл для декодирования.

 

Во вложении выкладываю архив автоматического сборщика логов и скрин файла how_to_back_files.

 

Прошу Вам помочь советами.

Спасибо Вам.

 

CollectionLog-2017.08.14-11.47.zip

post-46608-0-47187700-1502705083_thumb.png

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

SQ

SQ

Опубликовано
Опубликовано

Знакома ли Вам?

C:\ProgramData\A50S.vbs
  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
Startup: C:\Users\buhgalter\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk [2017-06-30]
ShortcutTarget: explorer.lnk -> C:\ProgramData\Windows\svchost.vbs (No File)
ShortcutTarget: explorer.lnk -> C:\Logs\Go.vbs (No File)
File: C:\Windows\tcpsv\ams.exe
2017-08-11 20:38 - 2017-08-11 20:38 - 000004935 _____ C:\Users\glbuh\AppData\Local\how_to_back_files.html
2017-08-11 20:36 - 2017-08-11 20:36 - 000004935 _____ C:\Users\glbuh\Documents\how_to_back_files.html
2017-08-11 20:35 - 2017-08-11 20:35 - 000004935 _____ C:\Users\glbuh\how_to_back_files.html
2017-08-11 20:35 - 2017-08-11 20:35 - 000004935 _____ C:\Users\glbuh\Downloads\how_to_back_files.html
2017-08-11 19:57 - 2017-08-11 19:57 - 000004935 _____ C:\Users\buhgalter\AppData\Local\how_to_back_files.html
2017-08-11 19:56 - 2017-08-11 19:56 - 000004935 _____ C:\Users\Public\how_to_back_files.html
2017-08-11 19:56 - 2017-08-11 19:56 - 000004935 _____ C:\Users\Public\Downloads\how_to_back_files.html
2017-08-11 19:56 - 2017-08-11 19:56 - 000004935 _____ C:\Users\Public\Documents\how_to_back_files.html
2017-08-11 19:56 - 2017-08-11 19:56 - 000004935 _____ C:\Users\buhgalter\how_to_back_files.html
2017-08-11 19:56 - 2017-08-11 19:56 - 000004935 _____ C:\Users\buhgalter\Downloads\how_to_back_files.html
2017-08-11 19:56 - 2017-08-11 19:56 - 000004935 _____ C:\Users\buhgalter\Documents\how_to_back_files.html
2017-08-11 19:54 - 2017-08-11 19:54 - 000004935 _____ C:\Users\Все пользователи\how_to_back_files.html
2017-08-11 19:54 - 2017-08-11 19:54 - 000004935 _____ C:\ProgramData\how_to_back_files.html
2017-08-11 19:51 - 2017-08-11 19:51 - 000001026 _____ C:\Users\Public\{065f0c40-703a-11de-9954-806e6f6e6963}
File: C:\ProgramData\A50S.vbs
Zip: C:\ProgramData\A50S.vbs
Folder: C:\ProgramData\Windows
Folder: C:\Users\glbuh\AppData\Local\Microsoft Help
Task: {333A4A79-1433-4022-8650-83BEB6E86BC8} - \GoogleUpdateTaskMachineCore -> No File <==== ATTENTION
Task: {54F48679-F5CD-4602-BEDF-1E66E998038C} - \GoogleUpdateTaskMachineUA -> No File <==== ATTENTION
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что сервер возможно будет перезагружен.

После перегрузке на рабочем столе появиться архив вида <дата>_<время>.zip (где дата - текущая дата, время - текущее время запуска утилиты FRTS ) отправьте его на newvirus@kaspersky.com

SQ

SQ

Опубликовано
Опубликовано

C:\ProgramData\A50S.vbs - нет мне она не знакома.

Отправьте пожалуйста карантин на newvirus@kaspersky.com

C:\Users\AllAutoAdmin1c\Desktop\15.08.2017_12.07.45.zip
Полученный ответ сообщите здесь (с указанием номера KLAN)
  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

     

    C:\ProgramData\A50S.vbs
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что сервер возможно будет перезагружен.
adminrmz

adminrmz

Опубликовано
  • Автор
Опубликовано

Карантин C:\Users\AllAutoAdmin1c\Desktop\15.08.2017_12.07.45.zip на newvirus@kaspersky.com отправил.

 

Лог-файл (Fixlog.txt) прикреплен.

 

Fixlog.txt

SQ

SQ

Опубликовано
Опубликовано

Лог, отправили ранее верный. Но мы на данный момент времени с данным типом зашифрованных файлов с расшифровкой не поможем.

adminrmz

adminrmz

Опубликовано
  • Автор
Опубликовано

Понял.

 

Просканировал сервер утилитой Dr.Web CureIt!. Нашёл много вирусов. Возможно среди них имеется вредоносное ПО, которое могло выполнить шифрование файлов. Все найденные файлы отправил в Лабораторию Касперского. Возможно ещё можно расшифровать все файлы сервера. Теперь жду ответ.

thyrex

thyrex

Опубликовано
Опубликовано

Вам ответили - нет. И наличие шифратора ничем не поможет

  • Спасибо (+1) 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Николай212322122
      Вирус майнер realtek hd audio не удаляться до конца
      Автор Николай212322122
      Переустановили винду в сервизном центре. По приходу домой обнаружил вирус realtek hd audio, который включается по автозагрузке и не дает скачать антивирусы. Dr web cureit получилось перекинуть через месенжер и сделать проверку, он нашел большое количество угроз. Но не все смог вылечить, я скачал Kaspersky virus removal tool и он тоже нашел вирусы. Я запускал несколько раз эти утелиты и вроде бы угроз больше не обнаруживается. Но в автозагрузках я опять вижу realtek hd audio выключенным с автозагрузок , хотя после первого сканирование он был вообще удален.
       
      Сейчас Dr web cureit и Kaspersky virus removal tool ничего не находит и realtek hd audio выключен с автозагрузок и я могу вписывать антивирус в бразуер и он сразу не закрывается, так же могу зайти ProgramData. Но все равно realtek hd audio весит в автозагрузках и когда первый раз запускал Dr web cureit он написал что не все вылечил, так что есть подозрение что вирус еще на компьютере остался.
       
      Подскажите пж, что делать?
       
      Прикрепить логи от Dr web cureit не получаеться так как они больше 5 мб. Где получить логи от Kaspersky virus removal tool я не нашел. Подскажите как отправить логи
    • AndreyGrom89
      Вирус\майнер CAAServise
      Автор AndreyGrom89
      Доброго времени суток. Недавно обнаружил повышенную нагрузку на ГП. В диспетчере задач было обнаружено два процесса microsoft network realtime inspection service, один из которых и грузил карту. Поиском в инете нашел инфу о возможном майнере. Выполнил рекомендации из поста, не на данном форуме, рекомендации помогли, но увы не надолго, после некоторого времени проблема появилась вновь. Сегодня наткнулся на этот форум с похожей темой. Проверял комп Defender`ом, он проблему не находил. Обнаружил данный "файл" в исключениях, удалил оттуда. По рекомендации с соседней темы скачал FRST, сделал проверку, результаты прикрепил. Какие дальнейшие действия можно применить??
      Addition.txt FRST.txt
    • Fasolka
      Не получается удалить Trojan.Siggen31.49942
      Автор Fasolka
      Обьект: app.dll             Путь: C:\Users\lucif\AppData\Local\Temp\310HkrIkW1H0uUQZkVZi2Qlb5qF\resources\app.asar.unpacked\dist\electron\assets\app.dll
    • Владхелп
      [РЕШЕНО] Подозрение на вирус, подвисания
      Автор Владхелп
      Здравствуйте,
      Недавно переносил файлы с флешки друга, после этого начал подвисать и греться ноутбук, защитник ничего не видит
      CollectionLog-2025.12.22-22.00.zip
    • nsemak
      Необходима помощь в расшифровке файлов
      Автор nsemak
      Добрый день. Прошу помощи в расшифровке данных. Все по классике. Бухгалтер работала в терминальном сервере с правами админа, открыла почту и приехали. В архиве логи с программы "Farbar Recovery Scan Tool", зашифрованые файлы и файл о выкупе. 
       
      Файлы для анализа.zip
×
×
  • Создать...