Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

На сервер залез шифровальщик (скорее всего по RDP).

 

Почти все файлы поменяли название на:

email-tapok@tuta.io.ver-CL 1.5.1.0.id-4173978780-208364572397445127112444.fname-log20171220_135759.txt.doubleoffset

 

Помогите расшифровать.. :) ..возможно материальное вознаграждение!))

CollectionLog-2019.01.24-13.04.zip

11.7z

Опубликовано (изменено)

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\lynx2\AppData\Local\Temp\2\KKKLMNNOOO.exe', '');
 DeleteFile('C:\Users\lynx2\AppData\Local\Temp\2\KKKLMNNOOO.exe', '32');
 DeleteFile('C:\Users\lynx2\AppData\Local\Temp\2\KKKLMNNOOO.exe', '64');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2619623893-680959843-662794809-1016\Software\Microsoft\Windows\CurrentVersion\Run', '4173978780', '32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2619623893-680959843-662794809-1016\Software\Microsoft\Windows\CurrentVersion\Run', '4173978780', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

"Пофиксите" в HijackThis:

 

O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено пользователем Sandor
Опубликовано (изменено)

Прикрепил оба файла.. т.к. на почту gmail.com не уходило.. отправил с mail.ru .. возможно ушло...

CollectionLog-2019.01.24-14.43.zip

Изменено пользователем Sandor
Убрал карантин
Опубликовано

Утилиту запускали правой кнопкой от имени администратора?

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Опубликовано

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Addition.txt

FRST.txt

Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKLM-x32\...\Run: [294445] => 294445
    HKU\S-1-5-21-2619623893-680959843-662794809-1016\...\Run: [4173978780] => C:\Users\lynx2\AppData\Local\Temp\2\KKKLMNNOOO.exe <==== ATTENTION
    2019-01-24 05:00 - 2019-01-24 05:00 - 000088576 _____ () C:\Users\lynx2\AppData\Local\Temp\OPPQRSSSST.exe
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

 

Подробнее читайте в этом руководстве.

Опубликовано

  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Fixlog.txt

Опубликовано

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Папку C:\FRST пока не удаляйте.

 

Шансы есть? Мы просто заплатили.. т.к. времени ждать небыло.. тем более он расшифровал, отправленные ему файлы...

Он скинул вот такую прогу.. она всё просканировала.. сделала файл data.ini.. и ему этот файл отправили.. и пока уже 4 часа тишина...

Если расшифрует кто, заплатим!!! :help:

p.s. ....и если лицензии в данный момент нету? Нам проще заплатить сумму лицензии как будто она есть.. :)

___________________________________________________________________________

:cool2: скинул расшифровыватель!!!! :cool2:  4 часа ждал.... ппц..... вроде работает... 

отпишусь ещё о результатах дешифровки....

Search_keys_exe and data_ini.7z

Опубликовано

Строгое предупреждение от модератора SQ
Предупреждение за нарушение правил раздела "Уничтожение вирусов"
  • 5 недель спустя...
Опубликовано

@Wadim72, дешифратора в том вложении все равно нет. Да и чужой ключ Вам не подойдет.

Сообщение от модератора thyrex
Закрыто
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Вован Свидерский
      Автор Вован Свидерский
      Вирус зашифровал фотографии и они теперь стали называться email-gerkaman@aol.com.ver-CL 1.0.0.0.id-IJJKLLMNOPPPQRSTTTUVWXYYYZABBCCDEFFG-08.09.2015 10@50@484955357.randomname-KKLMNOOPQRSSTTUVWXXXYZABBBCDEF.GGH
       из-за чего произошло, незнаю. 
    • Alex8866
      Автор Alex8866
      Помогите, пожалуйста, расшифровать файлы. зашифрованы многие файлы ворда, экселя, картинки и фото.
      В названии файлов вначале - email-moshiax@aol.com.ver-CL 1.0.0.0.id
      Расширение у них .cbf
      CollectionLog-2015.10.13-18.24.zip
    • rubin51
      Автор rubin51
      Здравствуйте! Зашифровались файлы. После открытия письма зашифровались файлы на компьютере.
      Теперь невозможно открыть файлы.
      Все зашифрованные файлы теперь называются email-moshiax@aol.com.ver-CL 1.0.0.0.id-JMPSWYCEHKNQTWZCFILNRTWZCFILNRTWACFI-08.10.2015 8@57@528941935.randomname-RXCGKMPTVYBEHLNQUWZCFHLNQTWZCF.IMP.cbf
      Просим помощи в расшифровании наших файлов.
    • Galaa
      Автор Galaa
      Добрый день, сегодня по эл.почте отделом закупок было получено письмо с вложением договор.rar.
      Пользователь распаковал архив, попытался открыть файл... В результате все файлы на ПК зашифрованы
      (имеют вид: email-Igor_svetlov2@ com.ver-CL1.0.0.0id................ .cbf).
      Следуя инструкции, размещенной на форуме, выкладываю логи, полученные на данном ПК.
      Компьютер был на момент проверки отключен от сети и интернет...
       
      CollectionLog-2015.10.09-11.22.zip
    • Riv
      Автор Riv
      Здравствуйте.
      Коллега открыла письмо,которое пришло на почту.
       
      Сейчас на весь экран надпись :
      "твои файлы зашифрованы,если хочешь все вернуть отправь 1 зашифрованный файл на эту почту :Seven_Legion2@aol.com
       Внимание!!! у вас есть 1 неделя что-бы написать на почту по происшествии этого срока расшифровка станет не возможна!!! "
       
      Зашифровалось все вчера утром расширением .CBF
       
      Просканировали все Dr.Web Curelt  - нашел один троян "Trojan.Packed.24524" Удалили его.
       
      Прикрепили файл протоколов.
       
      Помогите пожалуйста.
      CollectionLog-2015.10.09-09.11.zip
×
×
  • Создать...