Перейти к содержанию

шифровальщик файлов RSA-2048 заблокировал файлы doc xls pdf

olegych90
 Поделиться

Рекомендуемые сообщения

olegych90

olegych90

Опубликовано
Опубликовано (изменено)

Добрый день на компьютере при запуске автоматически открывается фотография с текстом: Ваши файлы были зашифрованы с помощью алгоритма RSA-2048 Если вы хотите их вернуть то отправьте один из зашифрованных файлов на e-mail: unlckr@protonmail.com  Если вы не получили ответ в течение суток то скачайте с сайта www.torproject.com браузер TOR и с его помощью зайдите на сайт http://n3r2kuzhw2h7x6j5.onion- там будет указан действующий почтовый ящик. Попытка самостоятельного восстановления файлов могут безвозвратно их испортить!

так же данный файл с расширением jpeg  появился во всех папках на компьютере, а в конце имени файлов с расширение doc xls pdf появился странный набор символов. Прошу вашей помощи в возникшей ситуации. Файлы логов с программы AutoLogger во вложении

CollectionLog-2018.04.04-13.43.zip

Изменено пользователем olegych90
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Файл

qljxhfemyqxmnpplsqgt.jpg

вместе с парой зашифрованных офисных документов упакуйте в архив и прикрепите к следующему сообщению.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\gr00ve\appdata\roaming\willarchive\viewmerik.exe', '');
 DeleteFile('C:\Users\gr00ve\appdata\roaming\willarchive\viewmerik.exe', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

olegych90

olegych90

Опубликовано
  • Автор
Опубликовано (изменено)

[KLAN-7865390048] [/size]Присланные вами файлы были проверены в автоматическом режиме.[/size]

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:[/size]

viewmerik.exe - UDS:DangerousObject.Multi.Generic[/size]

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.[/size]

 

архивы в приложении

CollectionLog-2018.04.04-16.32.zip

ГДЗ-РЯ-3kl.-russkiy-yaz.-ucheb.-i-rt.-kanakina-goreckiy_2015-325s_lh13kdj14gt.rar

Изменено пользователем Sandor
Убрал карантин
Sandor

Sandor

Опубликовано
Опубликовано

Похоже на Unlock92 2.0

Увы, расшифровки нет. Для очистки возможных следов и мусора:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-3678816725-61584667-5597703-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X]
AlternateDataStreams: C:\Windows\System32:{4B9A1497-0817-47C4-9612-D6A1C53ACF57} [26]
MSCONFIG\startupreg: LoviVkontakte => C:\Program Files (x86)\LoviVkontakte\lovivkontakte.exe
MSCONFIG\startupreg: MediaGet2 => C:\Users\gr00ve\AppData\Local\MediaGet2\mediaget.exe --minimized
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

он распространяется по локальной сети?

Активного заражения уже нет.
Sandor

Sandor

Опубликовано
Опубликовано

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Sandor

Sandor

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Автоматическое обновление отключено

Учетная запись гостя включена. Пароль не установлен.

------------------------------- [ HotFix ] --------------------------------

HotFix KB3115858 Внимание! Скачать обновления

HotFix KB3140735 Внимание! Скачать обновления

HotFix KB3138910 Внимание! Скачать обновления

HotFix KB3138962 Внимание! Скачать обновления

HotFix KB3145739 Внимание! Скачать обновления

HotFix KB3146963 Внимание! Скачать обновления

HotFix KB3156013 Внимание! Скачать обновления

HotFix KB3156016 Внимание! Скачать обновления

HotFix KB3156019 Внимание! Скачать обновления

HotFix KB3155178 Внимание! Скачать обновления

HotFix KB3153171 Внимание! Скачать обновления

HotFix KB3170455 Внимание! Скачать обновления

HotFix KB3178034 Внимание! Скачать обновления

HotFix KB3185911 Внимание! Скачать обновления

HotFix KB3184122 Внимание! Скачать обновления

HotFix KB3192391 Внимание! Скачать обновления

HotFix KB3197867 Внимание! Скачать обновления

HotFix KB3205394 Внимание! Скачать обновления

HotFix KB4012212 Внимание! Скачать обновления

HotFix KB4019263 Внимание! Скачать обновления

HotFix KB4022722 Внимание! Скачать обновления

HotFix KB4015546 Внимание! Скачать обновления

HotFix KB4025337 Внимание! Скачать обновления

HotFix KB4034679 Внимание! Скачать обновления

HotFix KB4041678 Внимание! Скачать обновления

HotFix KB4056894 Внимание! Скачать обновления

HotFix KB4056897 Внимание! Скачать обновления

HotFix KB4074587 Внимание! Скачать обновления

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 4.00 (64-bit) v.4.00.0 Внимание! Скачать обновления

7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

Microsoft Silverlight v.5.1.20125.0 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 6 Update 35 v.6.0.350 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u162-windows-i586.exe).

Java 7 Update 67 v.7.0.670 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u162-windows-i586.exe).

--------------------------- [ AdobeProduction ] ---------------------------

Adobe AIR v.2.7.1.19610 Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------

Кнопка "Яндекс" на панели задач v.2.0.1.2130 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Рекомендации после удаления вредоносного ПО

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alesss
      Появился новый шифровщик
      Автор alesss
      В интернете 28.04.2017 г наткнулся на новый шифровщик ( шифрует файлы текстовый документ , архивы, фото и т.д. , при этом меняет тип файла на .dat
      Источник заражения ссылка   ссылка удалена
      появился txt документ в нем написано help50@yandex.ru
       

      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные ссылки и файлы на форуме.
    • dzamalbelaev
      Вымогател расширение *.axx
      Автор dzamalbelaev
      Этот криптовымогатель шифрует файлы с помощью AES-шифрования, используя возможности легитимной утилиты AxCrypt, и затем требует выкуп в размере $2500 или равнозначно в биткоинах, чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение .axx. Завершив шифрование вымогатель удаляет теневые копии файлов. 

        Вымогательская записка довольно длинная, текст путаный, несвязный, а некоторые слова, использованные в тексте записки, указывают на турецкоязычного автора. Из полного текста записки явствует, что криптовымогатель ориентирован на таргетированную атаку серверов организаций. 

      Часть текста из записки о выкупе:
      I encrypt some data that I believe are important to your system.
      Only your server to encrypt your data so you can bring me back again,
      * .axx Extension with its own place in your home directory or disk "reserves" named
      After you hide the folder, it will not be brought back to delete data by writing over the original.
      If your data again working my way wish to install on your server Eders new me
      Please contact via e-mail. Create your ip necessarily the subject of the e-mail you write.
      I demand from you to your system cost $ 2,500. If we agree on,
      I will send the necessary information in order to transfer you the money gönfer.
      control the delivery of a currency that you sent me (at the latest half an hour) then your system 
      I made it to connect older.
      ...

      Я обнаружил взаимосвязь AxCrypter с Magic Ransomware из их записки о выкупе
      Источник:http://id-ransomware.blogspot.com/2016/05/axcrypter-ransomware-axcrypt-2500.html
    • Radik56
      Зашифровали сервер
      Автор Radik56
      Добрый вечер.
      у меня тоже самое сервак зашифровали.
      прикрепил логи
      CollectionLog-2017.04.27-12.31.zip
      report1.log
      report2.log
    • Shiriisu
      поймал вирус-шифратор. фаилы с раширением crypt
      Автор Shiriisu
      Добрый день, случилась неудача, поймал вирус-шифратор.
      Поискал и в гугле, и на форуме, пропробовал Rannohdecryptor, но он ругается на разницу в размере фаилов.
      Чем можно ещё попробовать?
      Самое неприятное что не смог выяснить какая именно машина в сети поймала вирус, а в виду того что шифрование она ведет с конца по алфавитному порядку начала она с сетевого диска.
      Есть немного бэкапов, поэтому могу дать и оригинальный фаил, и шифрованный. (в приложении)
    • Meg@Zoid
      Шифровальщик. У всех файлов в конце названия появилась добавка id_3503374080_2irbar3mjvbap6gt.onion.to_
      Автор Meg@Zoid
      Зашифрованы файлы, у всех файлов появилось окончание id_3503374080_2irbar3mjvbap6gt.onion.to_ Шифровальщик остановился на одном месте и остальные файлы не шифрует. Можно как-то ещё спасти файлы?

      Вот примеры файлов и текстовый документ с рабочего стола.

      Вот текстовый документ.
      _DECRYPT_MY_FILES.txt
×
×
  • Создать...