Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Вирус шифровальщик [aversia@tuta.io]-id-0.payday

Алексей Шариков

Автор Алексей Шариков
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Алексей Шариков

Алексей Шариков

Опубликовано
Опубликовано (изменено)

Доброго дня. 

У меня возникла аналогичная проблема с шифрованием файлов. Прошу помощи.

CollectionLog-2017.10.16-09.51.zip

Изменено пользователем Алексей Шариков
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Файл

C:\Users\Администратор\AppData\Roaming\payday.hta

вместе с 2-3 зашифрованными документами упакуйте в архив и прикрепите к следующему сообщению.

 

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 TerminateProcessByName('c:\users\Администратор\desktop\csrs.exe');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\csrs.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Winhost.url', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\payday.hta', '');
 QuarantineFile('c:\users\Администратор\desktop\csrs.exe', '');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\csrs.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Winhost.url', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\payday.hta', '32');
 DeleteFile('c:\users\Администратор\desktop\csrs.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'baby');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'payday');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Winhost');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(2);
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Алексей Шариков

Алексей Шариков

Опубликовано
  • Автор
Опубликовано

К сожалению полиция изъяла комп.Спасибо за поддержку

  • Согласен 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Alsus
      Зашифровано payday
      Автор Alsus
      При включении сервера зашифровались все файлы ( несистемные) .  Комп не перезагружали, сохранился скрипт, и программа шифровальщик. Высылаю логи, программу и скрипт, и зашифрованый файл
      CollectionLog-2017.11.16-12.57.zip
      Договор водоснаб населения.doc.helper05@cock.li-id-1080.rar
    • Diocese
      Вирус шифровальщик
      Автор Diocese
      Как лечить?
      CollectionLog-2017.10.16-10.53.zip
    • дирижабль
      Шифровальщик
      Автор дирижабль
      Доброго времени суток! Прошу о помощи,
       
      вирус-шифровальщик, файлы по регламенту в приложении. Скажите, пожалуйста, можно ли восстановить файлы, есть ли дешифратор?
      В приложении файл с требованием, пара зашифрованных файлов в архиве 1
       
      Спасибо!
      CollectionLog-2017.10.18-14.38.zip
      !! RETURN FILES !!.txt
      1.zip
    • tumb
      Шифровальщик PADAY
      Автор tumb
      Сегодня 18.10.2017 в 11:50 была произведена шифровка всех данных на сервере. Причем за ним никто не работает, он тихонько стоит себе в углу, но при этом подключен к интернету. Я уж не знаю каким образом могла произойти шифровка, на нем ничего не скачивалось и не открывалось. Помогите если возможно в дешифровке. Какую информацию предоставить для анализа?
    • percolant
      Криптолокер BTCware
      Автор percolant
      Здравствуйте,
      Есть ли возможность расшифровать сабж? В аттаче архив с четырьмя файлами: два зашифрованные + два чистые оригиналы. Большое спасибо.
×
×
  • Создать...