Перейти к содержанию

hola@all-ransomware.info шифровальщик.


Рекомендуемые сообщения

Пришло письмо что то там с тепловыми счетчиками, пользователь открыл запустил exe, в итоге все данные зашифровались. Система загружается работает, можно ли расшифровать?  обязательно форматировать? И есть ли риск самостоятельного распространения на компьютеры в сети? Утилита каперского нашла и удалила один вирус, какой точно не запомнил. 

 


Автолог

CollectionLog-2017.10.23-14.48.zip

Ссылка на комментарий
Поделиться на другие сайты

можно ли расшифровать?

Ответ Вам известен, к сожалению, нет.

 

обязательно форматировать?

Нет.

 

Ярлыки

C:\Users\alla_s\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Chrome (2).lnk

C:\Users\alla_s\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mail.Ru Агент.lnk

C:\Users\alla_s\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Chrome.lnk

C:\Users\alla_s\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Eхрlorer.lnk

C:\Users\alla_s\AppData\Local\Amigo\User Data\Default\Web Applications\_crx_mbipmajmbfjakbcfnjdldckninlnmhoe\Амиго.Музыка.lnk

C:\Users\alla_s\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk

C:\Users\alla_s\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk

исправьте с помощью утилиты ClearLNK.

Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-3324870886-3738673045-1343716046-1338\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    2017-10-23 10:44 - 2017-10-23 10:44 - 000000372 _____ C:\Users\Public\README.txt
    2017-10-23 10:44 - 2017-10-23 10:44 - 000000372 _____ C:\Users\Public\Downloads\README.txt
    2017-10-23 10:44 - 2017-10-23 10:44 - 000000372 _____ C:\Users\alla_s\README.txt
    2017-10-23 10:44 - 2017-10-23 10:44 - 000000372 _____ C:\Users\alla_s\Downloads\README.txt
    2017-10-23 10:44 - 2017-10-23 10:44 - 000000372 _____ C:\Users\alla_s\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2017-10-23 10:42 - 2017-10-23 10:44 - 000000372 _____ C:\Users\alla_s\Documents\README.txt
    2017-10-23 10:06 - 2017-10-23 10:06 - 000000372 _____ C:\Users\alla_s\AppData\Roaming\README.txt
    2017-10-23 10:06 - 2017-10-23 10:06 - 000000372 _____ C:\Users\alla_s\AppData\README.txt
    2017-10-23 10:04 - 2017-10-23 10:04 - 000000372 _____ C:\Users\alla_s\AppData\LocalLow\README.txt
    2017-10-23 09:41 - 2017-10-23 10:44 - 000000372 _____ C:\Users\alla_s\AppData\Local\README.txt
    2017-10-23 09:34 - 2017-10-23 10:44 - 000000372 _____ C:\Users\Все пользователи\README.txt
    2017-10-23 09:34 - 2017-10-23 10:44 - 000000372 _____ C:\Users\Public\Documents\README.txt
    2017-10-23 09:34 - 2017-10-23 10:44 - 000000372 _____ C:\ProgramData\README.txt
    2016-06-08 15:52 - 2016-06-01 18:14 - 002187992 _____ (Mail.Ru) C:\Users\alla_s\AppData\Local\Temp\1856-dcd6-3471-ea33.exe
    2015-11-16 13:47 - 2015-11-16 13:50 - 044835384 _____ (LLC Mail.Ru) C:\Users\alla_s\AppData\Local\Temp\AmigoDistrib.exe
    2015-11-16 15:49 - 2017-05-24 15:25 - 053851128 _____ (Mail.Ru) C:\Users\alla_s\AppData\Local\Temp\amigo_setup.exe
    2017-08-21 08:53 - 2017-08-11 20:20 - 001314008 _____ (Mail.Ru) C:\Users\alla_s\AppData\Local\Temp\b769-6d63-35b4-a774.exe
    2015-11-16 13:47 - 2015-11-16 13:48 - 004567768 _____ () C:\Users\alla_s\AppData\Local\Temp\mailruhomesearch.exe
    2016-09-01 21:34 - 2017-07-03 20:44 - 004087000 _____ (Mail.Ru) C:\Users\alla_s\AppData\Local\Temp\mrutmp.exe
    Task: {1B21A7BE-12DD-4CEE-9CAE-C973B444457B} - System32\Tasks\MailRuUpdater => C:\Users\alla_s\AppData\Local\Mail.Ru\MailRuUpdater.exe [2017-08-11] (Mail.Ru) <==== ATTENTION
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на комментарий
Поделиться на другие сайты

Тоже вчера поймала бухгалтер вирус. И задала вполне резонный вопрос: "А нахрена тогда мы платим за антивирус, если я должна думать какой файл открывать, а какой нет?"

Ссылка на комментарий
Поделиться на другие сайты

@lpoleg, здравствуйте!

 

Не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи

 

платим за антивирус

За электроэнергию мы ведь тоже платим, но пальцы в розетку не вставляем, верно? :)
Ссылка на комментарий
Поделиться на другие сайты

вы серьёзно? 

Так я и за воду плачу, но её анализ в лаборатории перед тем как выпить стаканчик из под крана не делаю. И доверяю электрокомпании, что в розетке не 1000 вольт, когда вилку туда вставляю. И они ответят, если что-то не так. А за оплаченную услугу антивируса я получаю кукиш и никто за файлы не ответит. Так? 

 

Сообщение от модератора kmscom
Устное китайское предупреждение

очередное нарушение Правил раздела, будет наказано

Ссылка на комментарий
Поделиться на другие сайты

Пока Вы продолжаете нарушать правила этого раздела и пишете в чужой теме.

Следующие сообщения не по правилам будут удаляться.

Ссылка на комментарий
Поделиться на другие сайты

  • 2 months later...

Добрый день, спустя несколько месяцев данный ПК начал шифровать файлы в сети, выполнение скриптов не помогло( Или пользователь опять открыл подобное письмо? 

Просьба подсказать опасны ли зашифрованные файлы? Заражают ли они сам ПК с общедоступной папкой? т.к данный ПК зашифровал лишь те папки к которым был доступ на файл сервере, что то я переживаю за остальную информацию. Сам ПК отключен от сети 

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

опасны ли зашифрованные файлы?

Нет.

 

Или пользователь опять открыл подобное письмо?

Вот это более вероятно.

 

Соберите на этом компьютере свежий CollectionLog, только Autologger скачайте заново.

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

опасны ли зашифрованные файлы?

Нет.

 

Или пользователь опять открыл подобное письмо?

Вот это более вероятно.

 

Соберите на этом компьютере свежий CollectionLog, только Autologger скачайте заново.

 

Крови он мне попил буду сразу жесткий менять, как я понял часть информации "живой" со старого не страшно перекидывать подключив к свежей ос. 

Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • Aleksandr63
      От Aleksandr63
      Здравствуйте! зашифровало всё
      Новая папка.7z FRST.txt
    • Irina4832
      От Irina4832
      Помогите! Все файлы зашифровали, онлай определители типа шифровщика его не находят
      qbpBqR1L6.README.txt
    • kokc1979
      От kokc1979
      Подхватил заразу. Вчера всё работало. Сегодня вечером обнаружилась проблема с шифровалкой. Ни какое ПО в этот промежуток ремени не устанавливалось. Ни чего не скачивалось.
      Log.rar 3File.rar
    • Saul
      От Saul
      Добрый день!
      Вот такое поймали, зашифрованы все файлы на сетевой шаре.
      Есть способы для расшифровки?
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://tox.chat/clients.html
      https://github.com/uTox/uTox/releases/
      https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
      и добавьте нас
       
      2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
      1.zip
×
×
  • Создать...