Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте, возникла проблема - закрался вирус шифровальщик. Зашифрованы документы, картинки, *.pdf файлы и что самое страшное базы данных 1с. Архивы с логами, примерами зашифрованных файлов и письмом от злоумышленников в приложении.

CollectionLog-2018.03.28-13.05.zip

DECRIPT_MY_FILES.rar

Пульт.jpeg.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\836d~1\appdata\local\temp\2\{1d5decfe-7991-4c97-aa48-cb95d7edf41c}\{3e9694f2-4aa0-4634-aa74-5d957bd84c99}.exe');
 StopService('StanduckSU');
 QuarantineFile('C:\Program Files (x86)\483439ee973f587d9bb1ffe33f27b80f\EOF.exe', '');
 QuarantineFile('C:\Program Files (x86)\Winsere\Winsere\Winsere.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Image\capCADF.tmp:ad:$DATA', '');
 QuarantineFile('c:\users\836d~1\appdata\local\temp\2\{1d5decfe-7991-4c97-aa48-cb95d7edf41c}\{3e9694f2-4aa0-4634-aa74-5d957bd84c99}.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Local\snare\Snare.dll', '');
 QuarantineFile('C:\Users\Администратор\AppData\Local\SNARER\Snarer.dll', '');
 QuarantineFile('C:\Windows\TEMP\nsi8282.tmp\BaofengUpdate_U.exe', '');
 DeleteFile('C:\Program Files (x86)\483439ee973f587d9bb1ffe33f27b80f\EOF.exe', '32');
 DeleteFile('C:\Program Files (x86)\Winsere\Winsere\Winsere.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Image\capCADF.tmp:ad:$DATA', '32');
 DeleteFile('c:\users\836d~1\appdata\local\temp\2\{1d5decfe-7991-4c97-aa48-cb95d7edf41c}\{3e9694f2-4aa0-4634-aa74-5d957bd84c99}.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Local\snare\Snare.dll', '32');
 DeleteFile('C:\Users\Администратор\AppData\Local\SNARER\Snarer.dll', '32');
 DeleteFile('C:\Windows\TEMP\nsi8282.tmp\BaofengUpdate_U.exe', '32');
 DeleteService('EOF');
 DeleteService('StanduckSU');
 DeleteService('Winsere');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(4);
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на сообщение
Поделиться на другие сайты

После выполнения указанных Вами процедур получил новые логи. Архив в приложении.


Re: шифровальщик cripper [KLAN-7834245914]

 

В перечисленных файлах обнаружена программа Adware, предназначенная для показа рекламных сообщений:

capCADF.tmp:ad:$DATA - not-a-virus:AdWare.Win32.ELEX.eco

CollectionLog-2018.04.03-23.46.zip

Ссылка на сообщение
Поделиться на другие сайты

Один из файлов

DECRIPT_MY_FILES.txt

вместе с парой зашифрованных офисных документов упакуйте в архив и прикрепите к следующему сообщению.

 

Далее:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Svetlana1965
      Здравствуйте, уважаемые сотрудники форума! Я к вам с огромной просьбой. Помогите, пожалуйста, расшифровать мои файлы после вируса - шифровальщика (как я узнала позже). Теперь все мои файлы зашифрованы с расширением .zip и имеют название "932 Фaйл зaшифрoвaн [petrov441@protonmail.com] wannacash". Пожалуйста, подскажите, что мне нужно сделать. Утеряны все фотографии моих детей и внуков, файлы по работе. Так расстроена. Видео и музыка не тронуты.  
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь  
    • От vaz21102
      В домене все сервера выдают сообщение "All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Smith1@mailfence.com". Рабочий стол не грузиться.К имени файлов на серверах добавился текст "id-1A54EC80.[smith11@keemail.me].Aim"
      Addition.txt FRST.txt hijackthis.log virus.rar
    • От isavr
      Друзья, подскажите что делать? первый раз поймал шифровальщика
      sample.zip FRST.txt Addition.txt
    • От thyrex
      Здравствуйте, Евгений Валентинович.
       
      Вы конечно же в курсе, что недавно группа, занимавшаяся распространением вируса-шифровальщика Shade, официально объявила о завершении своей деятельности и предоставила антивирусным компаниям все ключи, необходимые для расшифровки файлов пользователей, пострадавших от их шифровальщика, коих оказалось около 750 тысяч. Ваши сотрудники оперативно обновили утилиту для расшифровки, за что им честь и хвала. Однако без ложки дегтя не обошлось: утилита по-прежнему просит от пострадавших указать путь к одному из файлов README[1-10].txt с информацией, необходимой для оперативного выбора ключа. А как быть пользователям, которые благополучно сохранили пострадавшие файлы с прицелом на будущее, переустановили систему, а файлов README не сохранили? Не могли бы Вы попросить автора утилиты ShadeDecryptor предусмотреть возможность простого перебора всех имеющихся ключей при отсутствии необходимого файла с информацией? Кроме того, службе веб-поддержки также необходимо обновить информацию  о данной утилите на сайте https://support.kaspersky.ru/viruses/utility .
       
      Спасибо за содействие.
×
×
  • Создать...