Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте.

Пользователь открыл сообщение эл.почты и вирус зашифровал все документы, изображения и т.д. В итоге почти все файлы компьютера зашифрованы.

 

Есть ли надежда на дешифровку?

образцы.rar

CollectionLog-2018.12.12-07.48.zip

README.txt

Опубликовано

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Documents and Settings\Uniq`s\Application Data\Microsoft\Internet Explorer\Quick Launch\README.txt', '');
 QuarantineFile('C:\Documents and Settings\Uniq`s\Главное меню\Программы\Автозагрузка\README.txt', '');
 QuarantineFile('C:\Temp\NBWCYKAXHE.exe', '');
 QuarantineFile('win32x.sys', '');
 DeleteFile('C:\Documents and Settings\Uniq`s\Application Data\Microsoft\Internet Explorer\Quick Launch\README.txt', '32');
 DeleteFile('C:\Documents and Settings\Uniq`s\Главное меню\Программы\Автозагрузка\README.txt', '32');
 DeleteFile('C:\Temp\NBWCYKAXHE.exe', '32');
 DeleteFile('win32x.sys', '32');
 DeleteService('win32x');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '3166863828', '32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O3 - HKCU\..\Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} - (no file)
O3 - HKCU\..\Toolbar: (no name) - {710EB7A1-45ED-11D0-924A-0020AFC7AC4D} - (no file)
O4 - Startup other users: C:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка\README.txt
O4 - Startup other users: C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\README.txt
O4 - User Startup: C:\Documents and Settings\Uniq`s\Главное меню\Программы\Автозагрузка\README.txt
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать ВСЕ при помощи Download Master: (default) = (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать при помощи Download Master: (default) = (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Передать на удаленную закачку DM: (default) = (no file)
O9 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74}: (no name) - (no file)
O12 - HKLM\..\Internet Explorer\Plugins\MIME\application/intertrust-spop: [Location] = (no file)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Опубликовано

ответ с newvirus@kaspersky.com

 

KLAN-9256595284

 

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
README.txt
README_0.txt

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.


свежие логи

CollectionLog-2018.12.12-23.17.zip

Опубликовано

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
 


+

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Опубликовано

Подскажите, какие файлы прикрепить к запросу на расшифровку?

Опубликовано

можете теже образцы и ридми, что в первом посте прикрепили.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ngri1@yandex.ru
      Автор ngri1@yandex.ru
      Здравствуйте.
       
      По почте 24.-9.2015 пришел файл *.exe
       
      Пользователь запустил его и в итоге были зашифрованы все файлы word.
       
      Kaspersky разрешил его выполнение - пропустил.
       
      Машина несколько раз перезагружалась.
       
      После чего Kaspersky обнаружил вирус Trojan-Dropper.Win32.Injector.nklv
       
      Лог AutoLogger прилагается.
       
      С уважением.
      CollectionLog-2015.09.25-08.20.zip
    • wcresaw
      Автор wcresaw
      Добрый день.

      После открытия файла по почте все офисные файлы зашифрованны и  имеют имя email-Igor_svetlov2@aol.com.ver-CL 1.0.0.0.id-VWWXYZABBCDDEFFGHHIJKKKLMNOOPPQRSSST-25.09.2015 8@37@469435045.randomname-ZABBCDEFGGGHIJKKKLMNOPPPQRSSTT.UVW.cbf

      результат сканирования FRST прилогаю.
      есть возможность расшифровать файлы?
      FRST.txt
      Addition.txt
    • andrey170782
      Автор andrey170782
      Вирус зашифровал файлы doc -WORD документы , они стали вот такого формата 
      email-gerkaman@aol.com.ver-CL 1.0.0.0.id-LEVGLWACKRKRTGDCGKHHKHEKEVSRVMJITPLO-25.09.2015 9@55@158965846.randomname-BXDVNYCZWEVDHAASOOHPKCCDQRRKAI.UHG.cbf
      email-Igor_svetlov2@aol.com.ver-CL 1.0.0.0.id-ZRVAVNLALBYXVJIZFKBAGIAZLCKJUTKQWNMI-25.09.2015 9@57@379911804.randomname-LICODDAHFMTSFVLCJARRYYRKJJKKJR.YSY.cbf
       
       
      На всех компьютерах установлен касперский , обновляется регулярно . После обнаружения вирусного шифровальщика , через центр управления принудительно запустили обновление баз на всех  компах и сканирование.
      .
       
      CollectionLog-2015.09.26-11.36.zip
    • andrey170782
      Автор andrey170782
      Добрый день!
       
      Зашифровались файлы word ....
      email-Igor_svetlov2@aol.com.ver-CL 1.0.0.0.id-ZRVAVNLALBYXVJIZFKBAGIAZLCKJUTKQWNMI-25.09.2015 9@57@379911804.randomname-YJSINOUAAXNCXNCKODLAFMCRNYJZLT.FXL.cbf
      базы обновили .. вирус уничтожен
       
      в папке program files был файл info.exe а так же prilozhenie.exe... касперский предлогат их лечить и после перезагрузки будет удалено..
       
      Подскажите пожалуйста есть ли шансы расшифровать документы?
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы
    • duzov
      Автор duzov
      Получила провокационное письмо, запустили вложение. Файлы зашифрованы с именами email-Igor_svetlov2@aol.com.ver-CL 1.0.0.0.id-PQRSTUUVXXYYZABCDDDEFGHHIIJKLLMMNOPQ-23.09.2015 13@17@521195938.randomname-RTTTVWWXXYZZABCCCDEEFGGGHIJJKK.LMN
      Установлен лицензионный Касперский Endpoint Security 10.
      Нужна помощь по расшифровке файлов.
      CollectionLog-2015.09.25-17.33.zip
×
×
  • Создать...