Словил вирус crypted000007

[Руслан Гребнев]

Это текст txt файла, который появился после заражения

 

Вашu файлы были зaшuфровaны.
Чтобы рaсшuфрoвamь uх, Bам неoбходuмо оmпpавumь код:
009B0ED989E4E9FFADD1|0
на электрoнный адрес pilotpilot088@gmail.com .
Дaлee вы пoлyчиmе все необxoдuмые uнстрykции.
Поnытkи рaсшифpoвaть самоcmояmeльно не npuведyт ни к чему, крoмe безвозвpaтной потepu uнфоpмацuи.
Еcлu вы вcё жe хотиme nоnыmаmься, тo nредвариmельнo cдeлайте peзepвные kопии файлoв, иначe в cлучаe
uх uзменeнuя рaсшифpовka cтaнеm нeвoзможной нu пpи кaкuх услoвuях.
Eслu вы нe пoлyчuли oтвeтa по вышeykaзaннoмy aдpесy в тeчeнuе 48 часов (u только в эmoм случae!),
вocпользуйтесь фoрмой обpamнoй связu. Это мoжнo cдeлamь двyмя cnocобами:
1) Ckачайтe u ycmaновuтe Tor Browser no ccылkе: https://www.torproject.org/download/download-easy.html.en
B адpеcнoй стpoке Tor Browser-a введите aдpеc:
http://cryptsen7fo43rr6.onion/
u нажмиme Enter. 3aгpузиmcя стрaница с формой oбраmной связu.
2) B любoм браyзеpe nеpeйдuтe no одномy uз адрecoв:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/


All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
009B0ED989E4E9FFADD1|0
to e-mail address pilotpilot088@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the feedback form. You can do it by two ways:
1) Download Tor Browser from here:
https://www.torproject.org/download/download-easy.html.en
Install it and type the following address into the address bar:
http://cryptsen7fo43rr6.onion/
Press Enter and then the page with feedback form will be loaded.
2) Go to the one of the following addresses in any browser:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

 

Вирус подцепил на почте, адрес отправителя: f.engler@gmx.ch, недавно пришло аналогичное сообщение, только с другого адреса: bennyrobin@013.net

 

После сканирования с помощью АВЗ, зип-файл с логами не создался

avz_log.txt

[kmscom]

внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

[Руслан Гребнев]

внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

CollectionLog-2018.12.11-07.03.zip

[regist]

Java 8 Update 131 [20170531]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F32180131F0}

устаревшая и уязвимая версия, деинсталируйте её.

С рассшифровкой помочь не сможем.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку. Может в будущем появится дешифратор.

 

+Выполните скрипт в AVZ при наличии доступа в интернет:

 

 

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

 

Выполните рекомендации после лечения.