Перейти к содержанию

Рекомендуемые сообщения

На Windows XP SP3 открыли письмо, предположительно с которого и началось заражение:
=============
"Южанникова Альбина" <frontera5@rambler.ru>:
 
Добрый день
 
Никак не могу с вами связаться( Направляю наши новые реквизиты

=============

с вложением "Реквизиты Обновление.src.gz"

(к этой теме прикреплён запароленный архив virus-src.gz-.7z с этим вложением)

 

Касперский идентифицирует это вложение, как Trojan.Win32.Poweliks.aesg

DrWeb - Trojan.Encoder.26361

 

Затем документы на компьютере переименовывались, как например 6S39+hjSlfkBUHBqHHc с раширением bomber а содержимое файлов становилось зашифрованным или искажённым.

 

После этого система была перепроверена утилитами DrWeb, FreeKaspersky, KVRT

В запароленном архиве virus-ti1.exe-.7z найденный FreeKaspersky, как  UDS:DangerousObject.Multi.Generic

 

В архиве KVRT_reports.zip три лога проверки утилитой KVRT

В архиве "Рабочий стол-encrypted.zip" зашифрованные документы с рабочего стола, включая два скрытых файла (предположительно это desktop.ini и thumbs.db)

 

Так же к теме прикреплён файл от шифровальщика "HOW TO RECOVER ENCRYPTED FILES.txt" с инструкцией по расшифровке файлов за криптовалюту

и лог от утилиты AutoLogger.

 

Пароль от двух запороленных архивов "virus"

 

Сообщение от модератора thyrex

Вредоносное вложение удалено

CollectionLog-2018.09.21-23.36.zip

KVRT_reports.zip

HOW TO RECOVER ENCRYPTED FILES.TXT

Рабочий стол-encrypted.zip

Изменено пользователем thyrex
Ссылка на сообщение
Поделиться на другие сайты

С расшифровкой помочь не сможем. Будет только зачистка мусора.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

С расшифровкой помочь не сможем. Будет только зачистка мусора.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

frst-logs.zip

Ссылка на сообщение
Поделиться на другие сайты
2018-09-19 17:07 - 2018-09-19 17:29 - 000002145 _____ C:\Documents and Settings\Депутат1\Рабочий стол\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 17:29 - 000002145 _____ C:\Documents and Settings\Депутат1\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\Documents and Settings\Депутат1\Мои документы\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\Documents and Settings\Депутат1\Главное меню\Программы\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\Documents and Settings\Депутат1\Главное меню\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\Documents and Settings\Администратор\Главное меню\Программы\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\Documents and Settings\HOW TO RECOVER ENCRYPTED FILES.TXT

 

удалите вручную. Больше помочь нечем

Ссылка на сообщение
Поделиться на другие сайты

 

2018-09-19 17:07 - 2018-09-19 17:29 - 000002145 _____ C:\Documents and Settings\Депутат1\Рабочий стол\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 17:29 - 000002145 _____ C:\Documents and Settings\Депутат1\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\Documents and Settings\Депутат1\Мои документы\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\Documents and Settings\Депутат1\Главное меню\Программы\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\Documents and Settings\Депутат1\Главное меню\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\Documents and Settings\Администратор\Главное меню\Программы\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\Documents and Settings\HOW TO RECOVER ENCRYPTED FILES.TXT

 

удалите вручную. Больше помочь нечем

 

 

Спасибо.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • AlexDreyk
      От AlexDreyk
      Добрый день! Просьба помочь с расшифровкой
      Addition.txt FRST.txt Зашифрованные файлы.zip
    • dsever
      От dsever
      Сегодня после выходных обнаружили проблему. Два сервера - все данные зашифрованы.  основная проблема с 1С файлы зашифрованы + бэкапы тоже. DrWEB пишет, что вирус попал по RDP, "Файл шифровальщика находится по пути
      C:\users\администратор.win-8anssg9mkch\appdata\local\7af1be1c-1606-8166-99e6-80b4a9786b07\BABKAALYOEBALO.exe". Так же вирус зашифровал все расшаренные файлы на других серверах, но до баз SQL не добрался.
       
      BABKAALYOEBALO_DECRYPTION.txt
    • vyz-project
      От vyz-project
      На рабочем компьютере 19.11.23 начиная примерно в 22:30 (судя по дате изменения) были зашифрованы все файлы. Теперь они все с расширением .id[705C9723-3351].[blankqq@tuta.io].elpy
      На данный момент зараженный компьютер изолирован. Но он был в локальной сети до этого момента.
      Логи и файлы приложил.
      pdf_files.7z Addition.txt FRST.txt
    • oocool
      От oocool
      Недавно словил Шифровальщик Phobos. Все файлы зашифрованы с расширением .elbie
      Была резервная копия данных, поэтому диск форматнули и восстановились.
      Знаю, что дешифровать его пока нельзя, но есть множество файлов - зашифрованных и их оригинал. Можно ли при их сопоставлении выявить закономерность (алгоритм или пароль)?
    • o.v.burcev
      От o.v.burcev
      Добрый вечер.
      Шифровальщик зашифровал все файлы на компе, помогите разобраться, есть ли шанс восстановить
       
      Пароль на архив с файлами вируса - virus
      virus.zip файлы FRST.7z File1.7z File2.7z
×
×
  • Создать...