Перейти к содержанию
Авторизация  
Ilya08111989

Зашифрованные файлы трояном ransom

Рекомендуемые сообщения

После заражения компьютера на рабочем столе появилась картинка с надписью "Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы" а так же появился текстовый файл с текстом readme:

Bаши файлы былu зaшuфрoвaны.

Чтобы рaсшuфрoвать uх, Вaм нeобходuмо omпpaвиmь koд:
178DA7A9086F1557BFA8|0
нa элekтрoнный адрeс pilotpilot088@gmail.com .
Дaлеe вы полyчите все нeобхoдuмыe uнстрykцuи.
Пonыmки рaсшифрoвamь caмосmoяmельнo не прuведyт нu k чемy, кромe бeзвозврaтнoй пomepи uнформaциu.
Еслu вы вcё жe хотuтe поnыmаmься, то nредваpumельнo cдeлайте резeрвные коnuи фaйлов, иначe в случaе
их измененuя рaсшuфрoвkа cmaнет нeвoзмoжнoй ни nрu какuх услoвuяx.
Eслu вы не полyчилu ответа по вышеукaзaннoму адpеcу в meченuе 48 чаcов (и mольko в этoм cлучае!),
восnользуйтecь фоpмoй oбрamнoй связи. Эmo мoжнo cделamь двумя сnoсобами:
1) Скачaйте u уcтанoвumе Tor Browser nо cсылкe: https://www.torproject.org/download/download-easy.html.en
В aдресной cтpoke Tor Browser-a введиme aдрес:
http://cryptsen7fo43rr6.onion/
и нaжмиmе Enter. 3arрyзитcя сmраница c фopмoй oбpаmнoй cвязu.
2) B любом бpayзере nерейдитe по однoмy uз aдpecов:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/


All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
178DA7A9086F1557BFA8|0
to e-mail address pilotpilot088@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the feedback form. You can do it by two ways:
1) Download Tor Browser from here:
https://www.torproject.org/download/download-easy.html.en
Install it and type the following address into the address bar:
http://cryptsen7fo43rr6.onion/
Press Enter and then the page with feedback form will be loaded.
2) Go to the one of the following addresses in any browser:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

 

Все файлы изменили свое название в набор символов с расширением xtbl

CollectionLog-2018.11.14-22.27.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 



begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 QuarantineFile('C:\PROGRA~3\SysWOW64\Qf1RuPWK.cmd','');
 DeleteFile('C:\PROGRA~3\SysWOW64\Qf1RuPWK.cmd','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Command Line Support','x64');
ExecuteSysClean;
RebootWindows(true);
end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 



begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.


 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Пофиксите следующие строчки в HiJackThis.

 



O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)


 

Сделайте новые логи Автологгером. 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 QuarantineFile('C:\PROGRA~3\SysWOW64\Qf1RuPWK.cmd','');
 DeleteFile('C:\PROGRA~3\SysWOW64\Qf1RuPWK.cmd','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Command Line Support','x64');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"
 
Пофиксите следующие строчки в HiJackThis.
 
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
 
Сделайте новые логи Автологгером. 

 

Выполнил все что описано в инструкции выше

1. Отправил на карантин файл quarantine.zip 

2. Прикладываю новый log по окончанию всех действий согласно инструкции 

CollectionLog-2018.11.15-14.02.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

AS: 360 Total Security (Disabled - Up to date) {B8102BA0-19BA-AE5D-847E-AA745B32C7ED}

Стоит задуматься о резервном копировании раз антивирус не ловит мышей.

 
 
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
2018-11-10 14:25 - 2018-11-15 13:39 - 000000000 __SHD C:\Users\Все пользователи\SysWOW64
2018-11-10 14:25 - 2018-11-15 13:39 - 000000000 __SHD C:\ProgramData\SysWOW64
2018-11-10 14:24 - 2018-11-14 00:51 - 000000000 __SHD C:\Users\Все пользователи\Resources
2018-11-10 14:24 - 2018-11-14 00:51 - 000000000 __SHD C:\ProgramData\Resources
2018-11-10 11:28 - 2018-11-10 11:28 - 003148854 _____ C:\Users\Семейный Очаг\AppData\Roaming\1332C3E41332C3E4.bmp
2018-11-10 11:28 - 2018-11-10 11:28 - 000004150 _____ C:\Users\Семейный Очаг\Desktop\README9.txt
2018-11-10 11:28 - 2018-11-10 11:28 - 000004150 _____ C:\Users\Семейный Очаг\Desktop\README8.txt
2018-11-10 11:28 - 2018-11-10 11:28 - 000004150 _____ C:\Users\Семейный Очаг\Desktop\README7.txt
2018-11-10 11:28 - 2018-11-10 11:28 - 000004150 _____ C:\Users\Семейный Очаг\Desktop\README6.txt
2018-11-10 11:28 - 2018-11-10 11:28 - 000004150 _____ C:\Users\Семейный Очаг\Desktop\README5.txt
2018-11-10 11:28 - 2018-11-10 11:28 - 000004150 _____ C:\Users\Семейный Очаг\Desktop\README4.txt
2018-11-10 11:28 - 2018-11-10 11:28 - 000004150 _____ C:\Users\Семейный Очаг\Desktop\README3.txt
2018-11-10 11:28 - 2018-11-10 11:28 - 000004150 _____ C:\Users\Семейный Очаг\Desktop\README2.txt
2018-11-10 11:28 - 2018-11-10 11:28 - 000004150 _____ C:\Users\Семейный Очаг\Desktop\README10.txt
2018-11-09 23:38 - 2018-11-14 00:51 - 000000000 __SHD C:\Users\Все пользователи\Windows
2018-11-09 23:38 - 2018-11-14 00:51 - 000000000 __SHD C:\ProgramData\Windows
2018-11-10 14:23 - 2018-11-10 14:23 - 000887808 _____ (Microsoft Corporation) C:\Users\Семейный Очаг\AppData\Local\Temp\0F98078E.exe
2018-11-10 14:24 - 2018-11-10 14:24 - 000777216 _____ () C:\Users\Семейный Очаг\AppData\Local\Temp\D6D08791.exe
2018-11-10 14:24 - 2018-11-10 14:24 - 012375552 _____ () C:\Users\Семейный Очаг\AppData\Local\Temp\F86173F3.exe
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
 
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

 

Стоит задуматься о резервном копировании раз антивирус не ловит мышей.

Я ведь первоначально выполнил проверку через Kaspersky Virus Removal Tool 2015 https://yadi.sk/i/DytY_fFqmHLHNA

 

 

 

Если на рабочем столе будет создан архив Дата_время.zip,

а как он будет создан когда azv не запущен и не активен?

Fixlog.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

 

Я ведь первоначально выполнил проверку через Kaspersky Virus Removal Tool 2015

Ну да, после того как Вас успешно зашифровали. Что мешало до этого установить нормальный антивирус? 

 

 

 

а как он будет создан когда azv не запущен и не активен?

С помощью архиватора. Скрипт переделайте, текстовой файл сохраните в Юникод кодировке. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

 

Ну да, после того как Вас успешно зашифровали. Что мешало до этого установить нормальный антивирус? 

Вы совершенно правы, дело в том что компьютером пользуюсь не я а девушка, тут я думаю вы сами все понимаете  :lol:

 

 

Ну да, после того как Вас успешно зашифровали. Что мешало до этого установить нормальный антивирус? 

как он создаться самопроизвольно через архиватор мне конечно непонятно((.Я заново сохранил код что был в сообщении ранее в кодировке Юникод и отправляю Вам новый log

Fixlog.txt

Изменено пользователем Ilya08111989

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вы совершенно правы, дело в том что компьютером пользуюсь не я а девушка, тут я думаю вы сами все понимаете

У девушки тогда примите экзамен на знание основ компьютерной безопасности. 

 

Смените все пароли. Почта, аська, скайп, ВК и т.д. 

 

2018-10-11 12:51 - 2018-11-10 10:18 - 000049024 _____ C:\Users\Семейный Очаг\Downloads\lmcZ4VWTjnOnx+c6YuvRCHSdfKBdDySS06e+YU+tMcM=.178DA7A9086F1557BFA8.crypted000007

Для этой модификации шифровальщика Shade расшифровки нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

У девушки тогда примите экзамен на знание основ компьютерной безопасности. 

 

Смените все пароли. Почта, аська, скайп, ВК и т.д. 

Совсем забыл, спасибо 

 

 

Для этой модификации шифровальщика Shade расшифровки нет.

Вы имеете конкретный файл в каталоге или же все в общем не будет расшифровано?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

 

У девушки тогда примите экзамен на знание основ компьютерной безопасности. 

 

Смените все пароли. Почта, аська, скайп, ВК и т.д. 

Совсем забыл, спасибо 

 

 

Для этой модификации шифровальщика Shade расшифровки нет.

Вы имеете конкретный файл в каталоге или же все в общем не будет расшифровано?

Для всех файлов, которые имеют расширение crypted000007

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

 

 

У девушки тогда примите экзамен на знание основ компьютерной безопасности. 

 

Смените все пароли. Почта, аська, скайп, ВК и т.д. 

Совсем забыл, спасибо 

 

 

Для этой модификации шифровальщика Shade расшифровки нет.

Вы имеете конкретный файл в каталоге или же все в общем не будет расшифровано?

Для всех файлов, которые имеют расширение crypted000007

Так все файлы с таким расширением, выход теперь только ждать, что когда то появится расшифровка?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Она не появится. Слишком стойкое шифрование использует этот шифровальщик. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Она не появится. Слишком стойкое шифрование использует этот шифровальщик. 

Звучит грустно ...

Вам огромное спасибо ...как и где можно выразить благодарность за содействие и помощь с вашей стороны!? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

  • Похожий контент

    • От Dmitry Nevajno1
      Добрый день, Kaspersky Endpoint Security, начал выдавать активную угрозу "Trojan.Win32.SEPEH.gen". Выполняли обновления Windows, проверял adwcleaner'ом, толку ноль. Из за него сбоит сервер "Экран смерти". Как быть?

    • От ArataKun
      Добрый день участники форума.
      У меня после загрузки компьютера часто возникает сообщение от Касперского о трояне в системной памяти. Нажимаю "Лечить с перезагрузкой", Касперский лечит, комп перезагружается, и снова всплывает это же предупреждение. Бывает, что оно не появляется сразу после загрузки, но если я запущу сканирование системной памяти, то предупреждение снова появится. Как-то связать время, когда впервые появилось это предупреждение, с какими-то событиями на компьютере (установка программ, обновлений и т.п.) я не могу.
      Софт стоит следующий:
      Антивирус: Kaspersky Endpoint Security 10 Service Pack 1 Maintenance Release 2 для Windows, версия 10.2.4.674
      ОС: Windows XP SP3 (Build 2600)
       
      Ругается на троян Trojan.Win32.Agent.gen
       
      Кроме Касперского никаких антивирусов в системе нет. Прошёлся "Kaspersky Virus Removal Tool" и собрал данные Автологгером. Архив и фото предупреждения (кнопка "PrintScreen" не работает) прикрепил. Надеюсь на помощь.
       
       
      CollectionLog-2016.12.20-23.38.zip

    • От kostolom_brn
      Здравствуйте.
      Вся история подробно...
      Я разработчик сайтов. Примерно 2 недели назад, на одном из разрабатываемых в данный момент сайтов, заметил появление рекламных баннеров (ссылки на очень известные сайты типа мвидео и т.д.) в самом верху сайта. В тело сайта встраивался код который вёл к сайтам: p.analytic.host/ad/base.js?id= d.d1tracker.ru/p.gif?ch=r&sid= Я думал это вирус на сайте. Пытался его выловить и т.д. Проверял на вирусы антивирусом+фаерволом для сайтов virusdie.ru(лицензия).
      Заходил на злополучный сайт и с компьютера домашнего и с андроид приставки (которая питается интернетом от одного роутера с моим компьютером).
      И с компа домашнего и с андроид приставки этот мой сайт показывал рекламу... У моих знакомых на их домашних компьютерах этот сайт всегда был без рекламы.
      Так вот, только вчера я понял, что даже полное удаление этого сайта (который я делал и на котором увидел баннеры), не спасло, на месте страницы об ошибках 404 или 403 (от хостинга стандартная страница), тоже вверху появлялись эти баннеры.
      На стороне хостинга всё в норме, я там всех на уши поставил - чисто там. Итак, я понял, что проблема не на сайте, а у меня в компьютере или роутере, начал искать сегодня на компе вирусы и т.д.
      Поставил на ПОЛНУЮ проверку всего компьютера, свой KIS 19(лицензионный), он ничего не нашёл.
      Сегодня скачал и проверил весь комп с помощью свежего dr web cureit - чисто.
      Установил несколько бесплатных и условно бесплатных программ, а именно (все свежие): Malwarebytes AdwCleaner RogueKiller SpyHunter Каждая из этих програм находила всякую ерунду (вроде "плохой" программы Adguard и ит.д), но ничего серьёзного. Так что у меня серьёзные подозрения на то, что происходит подмена DNS серверов и взлом роутера (последняя версия прошивки). На всякий случай я удалил все браузеры (firefox, хром, opera, yandex). Остались только предустановленные IE 11 и Edge. Кстати у меня Windows 10 pro x64. Я сбросил настройки роутера до заводских.
      Настроил таким образом, что поменял ip основного шлюза (и админки), прописал там dns гугла (8.8.8.8 и 8.8.4.4). Теперь роутер по адресу 192.168.34.56 и конечно все пароли сменил. ФОТО:
      Затем выключил компьютер (чтобы если есть вирус который прослушивает сеть не подслушал следующие действия) и с андроид приставки зашёл в настройки роутера и поменал админский пароль.
      Таким образом, компьютер не должен был узнать доступы в админку роутера.
      После этого я многократно проверил на андроид приставке тот злополучный сайт и рекламы уже не было.
      А вот на компьютере как была реклама на том сайте так и осталась.
      Запустил AutoLogger-test (от имени администратора), перед этим отключил касперского и включил всё что обычно запущено (телеграма, вотсап, скайп, gmail notifer(проверка почты), jivosite(онлайн консультант на сайтах), bitrix24, online radio player и Adguard(лицензия)). Все эти программы установлены уже давным-давно.
      Кстати в файле windows/system32/drivers/etc/hosts всё нужное (на всякий случай говорю, чтобы исключить подозрения на вирусы).   Вот пример того как выглядит рекламный, вирусный баннер СНИМОК ЭКРАНА:
       
      CollectionLog-2019.04.05-03.39.zip
    • От digital
      что за вирус такой? включаю компьютер там выскакивает табличка Windows-заблокирован ниже отправтеи смс слова **** на номер**** чтоб разблокировать Windows.еще ниже если вы попытаетесь перезагрузить компьютер это приведет к потере важной информации!
×
×
  • Создать...