Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Здравствуйте,

Сегодня ночью поймал вирус Trojan-Ransom.Win32.Cryptor.bsd (на Windows 7). Название определил при проверке вирусного файла на www.virustotal.com (Kaspersky). [/size]Заражение скорее всего произошло по RDP.

Вирус создал в каждой папке на всех дисках файл !!!RESTORE_FILES!!!.txt (прикрепил). И начал шифровать...

Я в это время работал по удаленному подключению, заметил торможение, запустил диспетчер задач в котором обнаружил fgggj.exe (прикрепил архив с вирусом, сохранил оригинальное название архива endddddd546666.zip). Я завершил этот процесс, затем в папке "Загрузки" обнаружил архив с вирусом. Повезло. Вирус проработал около получаса. Потерял только 3 папки с важными файлами (были зашифрованы). Шифрует добавляя в конец имени файла "CONTACTUS" (один из зашифрованных файлов прикрепил file_xls.zip).

Прошу помочь в расшифровке, если это еще возможно.

!!!RESTORE_FILES!!!.txt

file_xls.zip

Изменено пользователем Sandor
Убрал вирус
Опубликовано

Образец зашфрованного документа прикрепил в предыдущем измененном сообщении.

Опубликовано

прикрепил архив с вирусом

Не нужно! Выполняйте правила.
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    2018-06-04 15:44 - 2018-06-07 09:49 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignf134b00298491d3b
    2018-06-04 15:44 - 2018-06-07 09:49 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign13518d5921534b50
    2018-06-04 15:05 - 2018-06-07 09:49 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignb4be395686fd3ddc
    2018-06-04 15:05 - 2018-06-07 09:49 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsigna958c9054446cb11
    2018-06-04 13:25 - 2018-06-07 09:49 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignb3b519c04a3cbfee
    2018-06-04 13:25 - 2018-06-07 09:49 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign5b22a4cf30b82150
    2018-06-01 17:28 - 2018-06-07 09:49 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignc3579fa212baf098
    2018-06-01 17:28 - 2018-06-07 09:49 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign39d39915eccdbf53
    2018-06-01 16:08 - 2018-06-07 09:49 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign745e59da9ebfcc7d
    2018-06-01 16:08 - 2018-06-07 09:49 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign14500aa781b846a2
    2018-05-25 17:33 - 2018-06-07 09:49 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign606d9121e85e6656
    2018-05-25 17:33 - 2018-06-07 09:49 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign16abde8355214a6e
    2018-06-07 09:49 - 2018-05-04 16:35 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignd1a06978bc515f29
    2018-06-07 09:49 - 2018-05-04 16:35 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign975f59740a13ccda
    2018-06-07 09:49 - 2018-04-25 18:01 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignd7c89b51f0b78bb5
    2018-06-07 09:49 - 2018-04-25 18:01 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign77f7864661ef0307
    2018-06-07 09:49 - 2018-04-19 16:32 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign5bbbbbc2e9f7d6cd
    2018-06-07 09:49 - 2018-04-19 16:32 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign52f5dfc0a1df8660
    2018-06-07 09:49 - 2018-04-17 13:01 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignaa28c4f4d8d6f839
    2018-06-07 09:49 - 2018-04-17 13:01 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign4dd4b517dbce9f5f
    2018-06-07 09:49 - 2018-04-16 12:59 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign4aac9c9bf6ea495b
    2018-06-07 09:49 - 2018-04-16 12:59 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign2d8df360508d1e1e
    2018-06-07 09:49 - 2018-04-11 17:06 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignc57461cfc159bb90
    2018-06-07 09:49 - 2018-04-11 17:06 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign53a48dd891d1fd6d
    2018-06-07 09:49 - 2018-04-10 13:33 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign8230ceaec5ffe910
    2018-06-07 09:49 - 2018-04-10 13:33 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign31fa746978952f7c
    2018-06-07 09:49 - 2018-04-05 16:47 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignc47e21e6b08a10d1
    2018-06-07 09:49 - 2018-04-05 16:47 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign859988fb7a9b3225
    2018-06-07 09:49 - 2018-02-06 14:11 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign9eea481384ad1c96
    2018-06-07 09:49 - 2018-02-06 14:11 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign35b4287178b2c763
    2018-06-07 09:49 - 2017-11-05 23:48 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignf113292d57720ec7
    2018-06-07 09:49 - 2017-11-05 23:48 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignee3b8299881c30ef
    2018-06-07 09:49 - 2017-10-26 03:24 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignfc42882b28dd3caf
    2018-06-07 09:49 - 2017-10-26 03:24 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign516370ac1b462d23
    2018-06-07 09:49 - 2017-10-22 23:38 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsigneef5cfc8133c53b6
    2018-06-07 09:49 - 2017-10-22 23:38 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignad22b75b9a70a4e4
    2018-06-07 09:49 - 2017-10-03 15:19 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsigna71436d94e1bf5f4
    2018-06-07 09:49 - 2017-10-03 15:19 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign98c24a236f68993c
    2018-06-07 09:49 - 2017-09-27 18:04 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignd7b817f70f6e974a
    2018-06-07 09:49 - 2017-09-27 18:04 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign761f4cc3f7ea5575
    2018-06-07 09:49 - 2017-09-26 19:54 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign91a9cc3908b8d101
    2018-06-07 09:49 - 2017-09-26 19:54 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign261aa9fe12e60f25
    2018-06-07 09:49 - 2017-08-26 17:00 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignf19f9dce69c6bf13
    2018-06-07 09:49 - 2017-08-26 17:00 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign3e3ea1fada52da94
    2018-06-07 09:49 - 2017-08-19 15:10 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign84141480ab18c4c5
    2018-06-07 09:49 - 2017-08-19 15:10 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign27e94716d24a00bb
    2018-06-07 09:49 - 2017-08-19 12:02 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignb57f73684541c2a5
    2018-06-07 09:49 - 2017-08-19 12:01 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignf218ede5f60ea71f
    2018-06-07 09:49 - 2017-08-11 00:37 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsigna73c2542d8ff5bef
    2018-06-07 09:49 - 2017-08-11 00:37 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign8f922e09743661da
    2018-06-07 09:49 - 2017-08-11 00:34 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignef327e90fa4c1ded
    2018-06-07 09:49 - 2017-08-11 00:34 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign2bb5565d98544a87
    2018-06-07 09:49 - 2017-08-11 00:05 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignde5a0faabdd59218
    2018-06-07 09:49 - 2017-08-11 00:05 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign65f16322dd238ef4
    2018-06-07 09:49 - 2017-08-09 21:47 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign79a8ff0a79514c50
    2018-06-07 09:49 - 2017-08-09 21:47 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign635c9e508d2c6b69
    2018-06-07 09:49 - 2017-08-09 21:28 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign4dc97ddf2450a12a
    2018-06-07 09:49 - 2017-08-09 21:23 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignacc2b0c4ae0d5ea0
    2018-06-07 09:49 - 2017-08-09 21:23 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign2531f6ca3c67a11b
    2018-06-07 09:49 - 2017-08-04 18:26 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignb4f83230ee54533d
    2018-06-07 09:49 - 2017-08-04 18:26 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign8f1ffff114c1663f
    bl (HKLM\...\{2A075BB4-E976-4278-BF3F-E5C6945D84C0}) (Version: 1.0.0 - Your Company Name) Hidden
    ph (HKLM\...\{185F9795-9663-4F13-9EF9-307A282ADB5A}) (Version: 1.0.0 - Your Company Name) Hidden
    AlternateDataStreams: C:\Users\SERGEY:id [32]
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

В перечне установленных программ появятся

bl

ph

Деинсталлируйте их.
Опубликовано

Если я правильно понял, то код нужно просто скопировать и никуда не вставлять. Сделал. Прикрепил.

Fixlog.txt

Опубликовано

Вы поняли правильно.

 

Ничего не обещаю, но для выяснения кое-каких нюансов нужно время. Так что подождите.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • working816
      Автор working816
      Нужна помощь!
      Зашифровались все файлы получили вот такое сообщение
      "Внимание! Вы нарушили закон! Все Ваши файлы заблокированы!
      Чтобы разблокировать файлы посетите сайт http://stpiracy.host.sk Если сайт недоступен пишите на емейл stpiracy@email.su Ваш id l.......73"
      Снос винды на помог. т.е. на диске С все работает, а на даске D все фото документы фильмы видео все заблоктровано. Везле стоит расширение файла :
      bookmarks_04.06.12.html.7Kf9uY
      25052012042.mp4.7Kf9uY
      Фото0039.jpg.7Kf9uY
      oliver-koletzki-fran-hypnotized.mp3.7Kf9uY
      Помогите! чем эту заразу убить....
    • IgorM
      Автор IgorM
      Добрый день.Получил сообщение якобы из налоговой инспекции, открыл и вирус шифровальщик "одуванчик" зашифровал все текстовые файлы.Прошу помочь с их расшифровкой.Во вложенном файле логи.Заранее благодарю.
      GeneralScript.txt
      Script2.txt
    • jazzfen
      Автор jazzfen
      Здравейте,
      заразен съм с криптовирус смени ми текстовите и ПДФ файлове добави някакво разширение ABC поради което не се отварят моля за помощ!
      ето съобщението което е във всяка папка на компа ми:
      What happened to your files ?
      All of your files were protected by a strong encryption with RSA-2048.
      More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia...._(cryptosystem)
      What does this mean ?
      This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them,
      it is the same thing as losing them forever, but with our help, you can restore them.
      How did this happen ?
      Especially for you, on our server was generated the secret key pair RSA-2048 - public and private.
      All your files were encrypted with the public key, which has been transferred to your computer via the Internet.
      Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.
       
      What do I do ?
      Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed.
      If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.
       
      For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
      1. http://lk2gaflsgh.jg...2437118E6ACC021
      2. http://dg62wor94m.sd...2437118E6ACC021
      3. https://djdkduep62kz...2437118E6ACC021
      If for some reasons the addresses are not available, follow these steps:
      1. Download and install tor-browser: http://www.torprojec...browser.html.en
      2. After a successful installation, run the browser and wait for initialization.
      3. Type in the address bar: djdkduep62kz4nzx.onion/2437118E6ACC021
      4. Follow the instructions on the site.
      IMPORTANT INFORMATION:
      Your personal pages:
      http://lk2gaflsgh.jg...2437118E6ACC021
      http://dg62wor94m.sd...2437118E6ACC021
      https://djdkduep62kz...437118E6ACC021
      CollectionLog-2015.09.06-16.38.zip
    • Ольга Белоусова
      Автор Ольга Белоусова
      Здравствуйте, ц меня такая же проблема можете помочь? 
      AdwCleanerS1.txt
    • Александр Крицкий
      Автор Александр Крицкий
      Здравствуйте, господа. Мой компьютер подвергся заражению, в результате которой произошла так называемая шифровка программ, причем лишь я обратил внимание,что это музыка, фото, и ЧАСТЬ! видео. Видео, сохраненные в документах под блокировку не попали. После этого также начал тормозить компьютер. Итак, что делать?
×
×
  • Создать...