Перейти к содержанию

шифровальщик файлов RSA-2048 заблокировал файлы doc xls pdf


Рекомендуемые сообщения

Добрый день на компьютере при запуске автоматически открывается фотография с текстом: Ваши файлы были зашифрованы с помощью алгоритма RSA-2048 Если вы хотите их вернуть то отправьте один из зашифрованных файлов на e-mail: unlckr@protonmail.com  Если вы не получили ответ в течение суток то скачайте с сайта www.torproject.com браузер TOR и с его помощью зайдите на сайт http://n3r2kuzhw2h7x6j5.onion- там будет указан действующий почтовый ящик. Попытка самостоятельного восстановления файлов могут безвозвратно их испортить!

так же данный файл с расширением jpeg  появился во всех папках на компьютере, а в конце имени файлов с расширение doc xls pdf появился странный набор символов. Прошу вашей помощи в возникшей ситуации. Файлы логов с программы AutoLogger во вложении

CollectionLog-2018.04.04-13.43.zip

Изменено пользователем olegych90
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Файл

qljxhfemyqxmnpplsqgt.jpg

вместе с парой зашифрованных офисных документов упакуйте в архив и прикрепите к следующему сообщению.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\gr00ve\appdata\roaming\willarchive\viewmerik.exe', '');
 DeleteFile('C:\Users\gr00ve\appdata\roaming\willarchive\viewmerik.exe', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты

[KLAN-7865390048] [/size]Присланные вами файлы были проверены в автоматическом режиме.[/size]

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:[/size]

viewmerik.exe - UDS:DangerousObject.Multi.Generic[/size]

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.[/size]

 

архивы в приложении

CollectionLog-2018.04.04-16.32.zip

ГДЗ-РЯ-3kl.-russkiy-yaz.-ucheb.-i-rt.-kanakina-goreckiy_2015-325s_lh13kdj14gt.rar

Изменено пользователем Sandor
Убрал карантин
Ссылка на комментарий
Поделиться на другие сайты

Похоже на Unlock92 2.0

Увы, расшифровки нет. Для очистки возможных следов и мусора:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
    BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
    Toolbar: HKU\S-1-5-21-3678816725-61584667-5597703-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X]
    AlternateDataStreams: C:\Windows\System32:{4B9A1497-0817-47C4-9612-D6A1C53ACF57} [26]
    MSCONFIG\startupreg: LoviVkontakte => C:\Program Files (x86)\LoviVkontakte\lovivkontakte.exe
    MSCONFIG\startupreg: MediaGet2 => C:\Users\gr00ve\AppData\Local\MediaGet2\mediaget.exe --minimized
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

он распространяется по локальной сети?

Активного заражения уже нет.
Ссылка на комментарий
Поделиться на другие сайты

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Автоматическое обновление отключено

Учетная запись гостя включена. Пароль не установлен.

------------------------------- [ HotFix ] --------------------------------

HotFix KB3115858 Внимание! Скачать обновления

HotFix KB3140735 Внимание! Скачать обновления

HotFix KB3138910 Внимание! Скачать обновления

HotFix KB3138962 Внимание! Скачать обновления

HotFix KB3145739 Внимание! Скачать обновления

HotFix KB3146963 Внимание! Скачать обновления

HotFix KB3156013 Внимание! Скачать обновления

HotFix KB3156016 Внимание! Скачать обновления

HotFix KB3156019 Внимание! Скачать обновления

HotFix KB3155178 Внимание! Скачать обновления

HotFix KB3153171 Внимание! Скачать обновления

HotFix KB3170455 Внимание! Скачать обновления

HotFix KB3178034 Внимание! Скачать обновления

HotFix KB3185911 Внимание! Скачать обновления

HotFix KB3184122 Внимание! Скачать обновления

HotFix KB3192391 Внимание! Скачать обновления

HotFix KB3197867 Внимание! Скачать обновления

HotFix KB3205394 Внимание! Скачать обновления

HotFix KB4012212 Внимание! Скачать обновления

HotFix KB4019263 Внимание! Скачать обновления

HotFix KB4022722 Внимание! Скачать обновления

HotFix KB4015546 Внимание! Скачать обновления

HotFix KB4025337 Внимание! Скачать обновления

HotFix KB4034679 Внимание! Скачать обновления

HotFix KB4041678 Внимание! Скачать обновления

HotFix KB4056894 Внимание! Скачать обновления

HotFix KB4056897 Внимание! Скачать обновления

HotFix KB4074587 Внимание! Скачать обновления

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 4.00 (64-bit) v.4.00.0 Внимание! Скачать обновления

7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

Microsoft Silverlight v.5.1.20125.0 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 6 Update 35 v.6.0.350 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u162-windows-i586.exe).

Java 7 Update 67 v.7.0.670 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u162-windows-i586.exe).

--------------------------- [ AdobeProduction ] ---------------------------

Adobe AIR v.2.7.1.19610 Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------

Кнопка "Яндекс" на панели задач v.2.0.1.2130 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Gatavaug
      От Gatavaug
      Умы форума, а в теории можно расшифровать пак AES-256 в связке с RSA-2048?
      И сколько понадобится времени на сей сложный процесс?
    • Серж11
      От Серж11
      Здравствуйте... Заметил проблему не сразу... Судя по дате изменения файлов, произошло сие хулиганство 06.06.2019.
      Надеюсь на Вашу помощь...
      CollectionLog-2019.06.11-22.06.zip
      письмо от злоумышленников-как расшифровать файлы.rar

    • niuta-05
      От niuta-05
      Добрый день!
      сегодня на почту пришло письмо, после него все файлы зашифрованы 
      текст письма
      ВНИМАНИЕ! Ваши файлы зашифрованы криптостойким алгоритмом RSA-2048! Отправьте на flsunlocker@yahoo.com один из зашифрованных файлов. Попытки самостоятельной расшифровки могут привести к безвозвратной порче данных! В письме укажите также ваш ID - 30372E30362E32303136|14|MJ6
      логи в приложении 
      пожалуйста помогите!!!
      CollectionLog-2016.06.08-13.11.zip
    • madstar
      От madstar
      Собственно зашифровали.Пришло по электронке спамом. соц. инженерия. Пришло под видом ФНС с задолженностью 13 900 р. (Гл. бух и открыл...)
      CollectionLog-2016.04.14-17.11.zip
×
×
  • Создать...