шифровальщик файлов RSA-2048 заблокировал файлы doc xls pdf

[olegych90]

Добрый день на компьютере при запуске автоматически открывается фотография с текстом: Ваши файлы были зашифрованы с помощью алгоритма RSA-2048 Если вы хотите их вернуть то отправьте один из зашифрованных файлов на e-mail: unlckr@protonmail.com  Если вы не получили ответ в течение суток то скачайте с сайта www.torproject.com браузер TOR и с его помощью зайдите на сайт http://n3r2kuzhw2h7x6j5.onion- там будет указан действующий почтовый ящик. Попытка самостоятельного восстановления файлов могут безвозвратно их испортить!

так же данный файл с расширением jpeg  появился во всех папках на компьютере, а в конце имени файлов с расширение doc xls pdf появился странный набор символов. Прошу вашей помощи в возникшей ситуации. Файлы логов с программы AutoLogger во вложении

CollectionLog-2018.04.04-13.43.zip

Изменено 4 апреля, 2018 пользователем olegych90

[Sandor]

Здравствуйте!

 

Файл

qljxhfemyqxmnpplsqgt.jpg

вместе с парой зашифрованных офисных документов упакуйте в архив и прикрепите к следующему сообщению.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\gr00ve\appdata\roaming\willarchive\viewmerik.exe', '');
 DeleteFile('C:\Users\gr00ve\appdata\roaming\willarchive\viewmerik.exe', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[olegych90]

[KLAN-7865390048] [/size]Присланные вами файлы были проверены в автоматическом режиме.[/size]

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:[/size]

viewmerik.exe - UDS:DangerousObject.Multi.Generic[/size]

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.[/size]

 

архивы в приложении

CollectionLog-2018.04.04-16.32.zip

ГДЗ-РЯ-3kl.-russkiy-yaz.-ucheb.-i-rt.-kanakina-goreckiy_2015-325s_lh13kdj14gt.rar

Изменено 4 апреля, 2018 пользователем Sandor
Убрал карантин

[Sandor]

Похоже на Unlock92 2.0

Увы, расшифровки нет. Для очистки возможных следов и мусора:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[olegych90]

а он распространяется по локальной сети?

 файлы в приложении.

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
  BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
  Toolbar: HKU\S-1-5-21-3678816725-61584667-5597703-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X]
  AlternateDataStreams: C:\Windows\System32:{4B9A1497-0817-47C4-9612-D6A1C53ACF57} [26]
  MSCONFIG\startupreg: LoviVkontakte => C:\Program Files (x86)\LoviVkontakte\lovivkontakte.exe
  MSCONFIG\startupreg: MediaGet2 => C:\Users\gr00ve\AppData\Local\MediaGet2\mediaget.exe --minimized
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

он распространяется по локальной сети?

Активного заражения уже нет.

[olegych90]

в приложении

Fixlog.txt

[Sandor]

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[olegych90]

в приложении

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Автоматическое обновление отключено

Учетная запись гостя включена. Пароль не установлен.

------------------------------- [ HotFix ] --------------------------------

HotFix KB3115858 Внимание! Скачать обновления

HotFix KB3140735 Внимание! Скачать обновления

HotFix KB3138910 Внимание! Скачать обновления

HotFix KB3138962 Внимание! Скачать обновления

HotFix KB3145739 Внимание! Скачать обновления

HotFix KB3146963 Внимание! Скачать обновления

HotFix KB3156013 Внимание! Скачать обновления

HotFix KB3156016 Внимание! Скачать обновления

HotFix KB3156019 Внимание! Скачать обновления

HotFix KB3155178 Внимание! Скачать обновления

HotFix KB3153171 Внимание! Скачать обновления

HotFix KB3170455 Внимание! Скачать обновления

HotFix KB3178034 Внимание! Скачать обновления

HotFix KB3185911 Внимание! Скачать обновления

HotFix KB3184122 Внимание! Скачать обновления

HotFix KB3192391 Внимание! Скачать обновления

HotFix KB3197867 Внимание! Скачать обновления

HotFix KB3205394 Внимание! Скачать обновления

HotFix KB4012212 Внимание! Скачать обновления

HotFix KB4019263 Внимание! Скачать обновления

HotFix KB4022722 Внимание! Скачать обновления

HotFix KB4015546 Внимание! Скачать обновления

HotFix KB4025337 Внимание! Скачать обновления

HotFix KB4034679 Внимание! Скачать обновления

HotFix KB4041678 Внимание! Скачать обновления

HotFix KB4056894 Внимание! Скачать обновления

HotFix KB4056897 Внимание! Скачать обновления

HotFix KB4074587 Внимание! Скачать обновления

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 4.00 (64-bit) v.4.00.0 Внимание! Скачать обновления

7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

Microsoft Silverlight v.5.1.20125.0 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 6 Update 35 v.6.0.350 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u162-windows-i586.exe).

Java 7 Update 67 v.7.0.670 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u162-windows-i586.exe).

--------------------------- [ AdobeProduction ] ---------------------------

Adobe AIR v.2.7.1.19610 Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------

Кнопка "Яндекс" на панели задач v.2.0.1.2130 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Рекомендации после удаления вредоносного ПО