hola@all-ransomware.info шифровальщик.

[AndreyV8]

Пришло письмо что то там с тепловыми счетчиками, пользователь открыл запустил exe, в итоге все данные зашифровались. Система загружается работает, можно ли расшифровать?  обязательно форматировать? И есть ли риск самостоятельного распространения на компьютеры в сети? Утилита каперского нашла и удалила один вирус, какой точно не запомнил. 

 

Автолог

CollectionLog-2017.10.23-14.48.zip

[Sandor]

можно ли расшифровать?

Ответ Вам известен, к сожалению, нет.

 

обязательно форматировать?

Нет.

 

Ярлыки

C:\Users\alla_s\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Chrome (2).lnk

C:\Users\alla_s\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mail.Ru Агент.lnk

C:\Users\alla_s\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Chrome.lnk

C:\Users\alla_s\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Eхрlorer.lnk

C:\Users\alla_s\AppData\Local\Amigo\User Data\Default\Web Applications\_crx_mbipmajmbfjakbcfnjdldckninlnmhoe\Амиго.Музыка.lnk

C:\Users\alla_s\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk

C:\Users\alla_s\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk

исправьте с помощью утилиты ClearLNK.

Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[AndreyV8]

Загрузил

ClearLNK-23.10.2017_15-18.log

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-3324870886-3738673045-1343716046-1338\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  2017-10-23 10:44 - 2017-10-23 10:44 - 000000372 _____ C:\Users\Public\README.txt
  2017-10-23 10:44 - 2017-10-23 10:44 - 000000372 _____ C:\Users\Public\Downloads\README.txt
  2017-10-23 10:44 - 2017-10-23 10:44 - 000000372 _____ C:\Users\alla_s\README.txt
  2017-10-23 10:44 - 2017-10-23 10:44 - 000000372 _____ C:\Users\alla_s\Downloads\README.txt
  2017-10-23 10:44 - 2017-10-23 10:44 - 000000372 _____ C:\Users\alla_s\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2017-10-23 10:42 - 2017-10-23 10:44 - 000000372 _____ C:\Users\alla_s\Documents\README.txt
  2017-10-23 10:06 - 2017-10-23 10:06 - 000000372 _____ C:\Users\alla_s\AppData\Roaming\README.txt
  2017-10-23 10:06 - 2017-10-23 10:06 - 000000372 _____ C:\Users\alla_s\AppData\README.txt
  2017-10-23 10:04 - 2017-10-23 10:04 - 000000372 _____ C:\Users\alla_s\AppData\LocalLow\README.txt
  2017-10-23 09:41 - 2017-10-23 10:44 - 000000372 _____ C:\Users\alla_s\AppData\Local\README.txt
  2017-10-23 09:34 - 2017-10-23 10:44 - 000000372 _____ C:\Users\Все пользователи\README.txt
  2017-10-23 09:34 - 2017-10-23 10:44 - 000000372 _____ C:\Users\Public\Documents\README.txt
  2017-10-23 09:34 - 2017-10-23 10:44 - 000000372 _____ C:\ProgramData\README.txt
  2016-06-08 15:52 - 2016-06-01 18:14 - 002187992 _____ (Mail.Ru) C:\Users\alla_s\AppData\Local\Temp\1856-dcd6-3471-ea33.exe
  2015-11-16 13:47 - 2015-11-16 13:50 - 044835384 _____ (LLC Mail.Ru) C:\Users\alla_s\AppData\Local\Temp\AmigoDistrib.exe
  2015-11-16 15:49 - 2017-05-24 15:25 - 053851128 _____ (Mail.Ru) C:\Users\alla_s\AppData\Local\Temp\amigo_setup.exe
  2017-08-21 08:53 - 2017-08-11 20:20 - 001314008 _____ (Mail.Ru) C:\Users\alla_s\AppData\Local\Temp\b769-6d63-35b4-a774.exe
  2015-11-16 13:47 - 2015-11-16 13:48 - 004567768 _____ () C:\Users\alla_s\AppData\Local\Temp\mailruhomesearch.exe
  2016-09-01 21:34 - 2017-07-03 20:44 - 004087000 _____ (Mail.Ru) C:\Users\alla_s\AppData\Local\Temp\mrutmp.exe
  Task: {1B21A7BE-12DD-4CEE-9CAE-C973B444457B} - System32\Tasks\MailRuUpdater => C:\Users\alla_s\AppData\Local\Mail.Ru\MailRuUpdater.exe [2017-08-11] (Mail.Ru) <==== ATTENTION
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[AndreyV8]

Fix

Fixlog.txt

[Sandor]

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[lpoleg]

Тоже вчера поймала бухгалтер вирус. И задала вполне резонный вопрос: "А нахрена тогда мы платим за антивирус, если я должна думать какой файл открывать, а какой нет?"

[Sandor]

@lpoleg, здравствуйте!

 

Не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи

 

платим за антивирус

За электроэнергию мы ведь тоже платим, но пальцы в розетку не вставляем, верно?

[lpoleg]

вы серьёзно? 

Так я и за воду плачу, но её анализ в лаборатории перед тем как выпить стаканчик из под крана не делаю. И доверяю электрокомпании, что в розетке не 1000 вольт, когда вилку туда вставляю. И они ответят, если что-то не так. А за оплаченную услугу антивируса я получаю кукиш и никто за файлы не ответит. Так? 

 

Сообщение от модератора kmscom

Устное китайское предупреждение

очередное нарушение Правил раздела, будет наказано

[Sandor]

Пока Вы продолжаете нарушать правила этого раздела и пишете в чужой теме.

Следующие сообщения не по правилам будут удаляться.

[AndreyV8]

Добрый день, спустя несколько месяцев данный ПК начал шифровать файлы в сети, выполнение скриптов не помогло( Или пользователь опять открыл подобное письмо? 

Просьба подсказать опасны ли зашифрованные файлы? Заражают ли они сам ПК с общедоступной папкой? т.к данный ПК зашифровал лишь те папки к которым был доступ на файл сервере, что то я переживаю за остальную информацию. Сам ПК отключен от сети 

[Sandor]

Здравствуйте!

 

опасны ли зашифрованные файлы?

Нет.

 

Или пользователь опять открыл подобное письмо?

Вот это более вероятно.

 

Соберите на этом компьютере свежий CollectionLog, только Autologger скачайте заново.

[AndreyV8]

Здравствуйте!

 

опасны ли зашифрованные файлы?

Нет.

 

Или пользователь опять открыл подобное письмо?

Вот это более вероятно.

 

Соберите на этом компьютере свежий CollectionLog, только Autologger скачайте заново.

 

Крови он мне попил буду сразу жесткий менять, как я понял часть информации "живой" со старого не страшно перекидывать подключив к свежей ос. 

[Tomilec]

Добрый день, та же проблема у двух бухгалтеров. Шифровальщик hola@all-ransomware.info

Можете помочь?

[Sandor]

@Tomilec, здравствуйте!

 

Создайте свою тему и выполните Порядок оформления запроса о помощи