Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Зашифровались данные kiaracript@gmail.com

Александр Шинкевич

Автор Александр Шинкевич
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Александр Шинкевич

Александр Шинкевич

Опубликовано
Опубликовано

Сотрудник скачал с почты какой то файл, открыл его и в итоге все файлы зашифровались. Какой то kiaracript@email.cz высвечивается. Помогите расшифровать файлы, пожалуйста.

Александр Шинкевич

Александр Шинкевич

Опубликовано
  • Автор
Опубликовано

Сотрудник скачал с почты какой то файл, открыл его и в итоге все файлы зашифровались. Какой то kiaracript@email.cz высвечивается. Помогите расшифровать файлы, пожалуйста.

 

Сообщение от модератора Mark D. Pearlstone
Темы объединены

CollectionLog-2017.11.08-14.58.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Файл

C:\Users\Mrn\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{KIARA}.bmp

и пару зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

 

О программе удаленного управления C:\Users\Mrn\desktop\aa_v3.exe - Вам известно?

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Mrn\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{KIARA}.bmp', '');
 DeleteFile('C:\Users\Mrn\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{KIARA}.bmp', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'AVG-Secure-Search-Update_0214c');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Александр Шинкевич

Александр Шинкевич

Опубликовано
  • Автор
Опубликовано

Файл из C:\Users\Mrn\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup куда то пропал по этому прикрепляю картинку с раб. стола, они идентичны, все файлы зашифрованные имеют какой то дополнительный файл с таким же названием и в конце kiacript и имеют формат (Приложение MS-DOS (.com) ) 

 

KLAN-7108117828

 

+Прикрепляю повторение логов

post-47960-0-83262500-1510147752_thumb.png

Агент.xls

2015_06_29_Доверенность на получение средств ЭП_СПб_АРГОС.doc

Новый15.xls

CollectionLog-2017.11.08-17.19.zip

Sandor

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKU\S-1-5-21-3418466107-434544513-3540215491-1000\...\Run: [{KIARA}] => C:\Users\Mrn\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{KIARA}.exe
HKU\S-1-5-21-3418466107-434544513-3540215491-1000\...\MountPoints2: {7f8d2fe2-874f-11e3-bf88-806e6f6e6963} - E:\Run.exe
CHR HKU\S-1-5-21-3418466107-434544513-3540215491-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
C:\Users\Mrn\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{KIARA}.exe
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

В предыдущем сообщении Вы прикрепили документы, в которых вероятно вручную убрали дополнительное расширение, так?

Не нужно ничего переименовывать, просто упакуйте в архив такой файл, например, этот:

C:\Новый1.xls.SN-0492842275562069-kiaracript@gmail.com

и прикрепите к следующему сообщению.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • djawm
      шифровальщик SN-4625026042183565-kiaracript@gmail.com
      Автор djawm
      Здравствуйте. Столкнулись с шифровальщиком  SN-4625026042183565-kiaracript@gmail.com . 
      Прежде чем отправлять логи, есть вопрос. 
      Зашифровали на винде 8.1 про, через учетную запись одного пользователя. Другие пользователи работают нормально. Собственно сам вопрос. 
      Логи делать через зараженного пользователя или можно сделать логи через другого (например администратора) ?
    • NIKOTEX
      шифровальщик SN-7476978605233321-kiaracript@gmail.com
      Автор NIKOTEX
      шифровальщик SN-7476978605233321-kiaracript@gmail.com зашифровал сетевые файлы помогите разблокировать пожалуйста

      Выполнил согласно правилам сбор данных, архив в прикреплении

      Вот зашифрованные файлы
      CollectionLog-2017.12.22-09.13.zip
      Вирус.rar
    • Marsel
      SN-1881928669075520-kiaracript@gmail.com
      Автор Marsel
      Здравствуйте.
      Зашифровали файлы прилагается скрин.
       
      CollectionLog-2017.12.18-09.57.zip

    • Igor72
      Шифровальщик kiaracript@gmail.com
      Автор Igor72
      Помогите пожалуйста расшифровать файлы
       

      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте на форуме вредоносные и потенциально вредоносные файлы и ссылки.  
      CollectionLog-2017.12.13-20.50.zip
    • melekhin
      Помогите расшифровать. новый шифровальщик
      Автор melekhin
      {KIARA}.SN-4793544493933116-kiaracript@gmail.com
       
      вот такое содержимое файла с инструкциями
       
      Обнаружен объект: Троян Trojan.BAT.BitCoinMiner.dg. Имя объекта: C:\Users\Valentina\Desktop\MGP.exe//Hide.vbs 
       
      Обнаружен объект: Троян Trojan-Dropper.MSIL.Mine.dg. Имя объекта: C:\Users\Valentina\Desktop\svshost.exe 
       
      пользователь валентина имел лёгкий пароль, и возможно его взломали, подобрали пароль к сессии RDP...
       
      запаковал все расшареные папки в локальной сети... 
       
      какие наши действия? Зайти под этим пользователем и запустить утилиту сбора логов? или можно изпод админа? Сервер виртуальный 2008R2
      CollectionLog-2017.12.11-12.22.zip
×
×
  • Создать...