DenisKeramik Опубликовано 3 октября, 2017 Share Опубликовано 3 октября, 2017 Добрый день! Поймал шифровальщик, подскажите нет ли готового решения для расшифровки информации? Файл с примером прикрепляю. Отчет.xls.aversia@tuta.io-id-0.payday.7z Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 3 октября, 2017 Share Опубликовано 3 октября, 2017 Здравствуйте! Прочтите и выполните Порядок оформления запроса о помощи Если есть текстовый файл с требованием выкупа, прикрепите к следующему сообщению. Ссылка на комментарий Поделиться на другие сайты More sharing options...
DenisKeramik Опубликовано 3 октября, 2017 Автор Share Опубликовано 3 октября, 2017 Здравствуйте! Прочтите и выполните Порядок оформления запроса о помощи Если есть текстовый файл с требованием выкупа, прикрепите к следующему сообщению. Прошу прощения. Файл логов и скриншот о выкупе. Текстового файла нее увидел. CollectionLog-2017.10.03-14.02.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 3 октября, 2017 Share Опубликовано 3 октября, 2017 C:\Users\Warehouse\AppData\Roaming\payday.hta Этот файл упакуйте и прикрепите. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
DenisKeramik Опубликовано 3 октября, 2017 Автор Share Опубликовано 3 октября, 2017 (изменено) Архив с файлами прикрепляю. Файла C:\Users\Warehouse\AppData\Roaming\payday.hta не вижу. Возможно он удален cureit FRS.7z Изменено 3 октября, 2017 пользователем DenisKeramik Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 3 октября, 2017 Share Опубликовано 3 октября, 2017 C:\Users\Warehouse\AppData\Roaming\payday.hta - Этот файл упакуйте и прикрепите.Не заметили? Ссылка на комментарий Поделиться на другие сайты More sharing options...
DenisKeramik Опубликовано 3 октября, 2017 Автор Share Опубликовано 3 октября, 2017 Архив с файлами прикрепляю. Файла C:\Users\Warehouse\AppData\Roaming\payday.hta не вижу. Возможно он удален cureit Он должен появиться снова в случае перезагрузки? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 3 октября, 2017 Share Опубликовано 3 октября, 2017 Скорее всего нет. Возможно он удален cureitЕсли есть возможность, попробуйте восстановить из карантина. Но это нужно для относительно точного определения типа вымогателя. С расшифровкой скорее всего помочь не сможем. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKU\S-1-5-21-1921929723-2490943160-3208376721-1025\...\Run: [payday] => "C:\Users\Warehouse\AppData\Roaming\payday.hta"**=*CTYPE HTML *********=*CTYPE HTML *********=*tle> HKU\S-1-5-21-1921929723-2490943160-3208376721-1025\...\Run: [ *********П<* src='data:*********П<* src='data:*********=* src='data:*********=* src (the data entry has 59 more characters).] => [X] HKU\S-1-5-21-1921929723-2490943160-3208376721-1025\...\Run: [baby] => "C:\Users\Warehouse\AppData\Roaming\payday.hta"**=*CTYPE HTML *********=*CTYPE HTML *********=*tle> HKU\S-1-5-21-1921929723-2490943160-3208376721-1025\...\Run: [ *********П<* src='data:*********П<* src='data:*********=* src='data:*********=* src (the data entry has 59 more characters).] => [X] Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
DenisKeramik Опубликовано 3 октября, 2017 Автор Share Опубликовано 3 октября, 2017 Восстановить файл из карантина не получилось. Файл с отчётом во вложении. Fixlog.7z Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 3 октября, 2017 Share Опубликовано 3 октября, 2017 На этом все. Настройте антивирус. Проверьте уязвимые места системы: Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Рекомендации после удаления вредоносного ПО Ссылка на комментарий Поделиться на другие сайты More sharing options...
scryde Опубликовано 3 октября, 2017 Share Опубликовано 3 октября, 2017 На этом все. Настройте антивирус. Проверьте уязвимые места системы: Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Рекомендации после удаления вредоносного ПО Расшифровка есть этого троя?а то тоже пару дней назад поймал.Спасибо за ответ. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти