Перейти к содержанию

Шифровальщик {KIARA}.SN-2363489894589010-kiaracript@gmail.com


Рекомендуемые сообщения

Добрый день. Поймали вирус шифровальщик, пострадала база 1С и файлы пользователей, но самое страшное база 1С и нет ни одного архива, те что были тоже подверглись шифровке. Прошу помощи в расшифровке. Отчет приложен. Ссылка на оригинальные файлы и зашифрованные файлы (https://cloud.mail.ru/public/w4p5/ZWMBk2NGn   

Благодарю за помощь и очень на нее надеюсь.

CollectionLog-2017.12.07-11.44.zip

report1.log

report2.log

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Бухгалтер\AppData\Roaming\winhost.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "SecurityService" /F', 0, 15000, true);
 DeleteFile('C:\Users\Бухгалтер\AppData\Roaming\winhost.exe', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKLM-x32\...\RunOnce: [{DB8913E6-73EB-4069-AE03-9AC2D0173CD8}] => C:\Users\A95B~1\AppData\Local\Temp\{235F7310-294A-41F6-A583-42C1C1CCD8A3}\{DB8913E6-73EB-4069-AE03-9AC2D0173CD8}.cmd [292 2017-12-07] () <==== ATTENTION
    HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ATTENTION
    InternetURL: C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Winhost.url -> URL: file:///C:\Users\Пользователь\AppData\Roaming\cvtres.exe
    C:\Users\Пользователь\AppData\Roaming\cvtres.exe
    2017-12-06 18:45 - 2017-12-07 11:24 - 000000000 ____D C:\Users\Все пользователи\Windows
    2017-12-06 18:45 - 2017-12-07 11:24 - 000000000 ____D C:\ProgramData\Windows
    C:\Users\A95B~1\AppData\Local\Temp\{235F7310-294A-41F6-A583-42C1C1CCD8A3}\{DB8913E6-73EB-4069-AE03-9AC2D0173CD8}.cmd
    2017-06-07 21:44 - 2017-06-07 21:44 - 054267784 _____ (SweetLabs,Inc.) C:\Users\Бухгалтер\AppData\Local\Temp\oct6B6E.tmp.exe
    2017-11-10 09:15 - 2017-11-10 09:15 - 020992472 _____ (SweetLabs,Inc.) C:\Users\Пользователь\AppData\Local\Temp\octB894.tmp.exe
    Task: {0B048D06-D3BC-44CF-B187-B1DF9E145DDA} - System32\Tasks\System\SecurityService => C:\Users\Бухгалтер\AppData\Roaming\winhost.exe <==== ATTENTION
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Thunderer
      От Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
    • DmitriyDy
      От DmitriyDy
      ПК на Windows11, Windows 10, Windows 7
      Примерная дата шифрования с 17.01.2025
      На некоторых ПК на которых установлен Dr.Web, вирус удали практически все, даже сам Dr.Web.
      На некоторых ПК на которых установлен Dr.Web, вирус зашифровал часть файлов.
      На некоторых ПК на которых установлен Dr.Web, при загрузке Windows автоматом загружается пользователь HIguys
      На некоторых ПК на которых установлен Dr.Web, Dr.Web сработал и остановил вирус (отчеты прилагаю)
       
      Ответ поддержки Dr.Web: 
      В данном случае файл зашифрован Trojan.Encoder.37506.
      Расшифровка нашими силами невозможна
       
      Во вложеных файлах: 1. Zip архив в котором: Скрин письма о выкупе, скрин загрузки пользователя HIguys, отчеты Dr.Web, Зашиврованные файлы. 2. логи, собранные Farbar Recovery Scan
      Зашифрованные файлы+скрины+отчеты Dr.Web.zip Addition.txt FRST.txt
    • Пользователь 1551
      От Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Korwin312
      От Korwin312
      Добрый день.
      Зашифрованы файлы на диске C. Полностью заблокирован диск D.
      Атака совершена 22.02 около полуночи.
      Файлы прилагаю.
       
      FRST.txt Addition.txt Shortcut.txt FILES_ENCRYPTED.txt logo_TF_2016_222px (1).png.rar
    • Евгений А1
      От Евгений А1
      Добрый день! Поймали шифровальщик. Очень похоже на взлом сервера, зашифрованы не только папки которые были видны через сеть, но и папки внутри сервера. Которые не были расшарены. Во вложении файлы про выкуп. Реадми. И примеры зашифрованных файлов.
      vikupandfile.7zAddition.txtFRST.txt
×
×
  • Создать...