Перейти к содержанию

Шифровальщик имя_файла.id-3629E235.[veracrypt@foxmail.com].adobe


Рекомендуемые сообщения

Здравствуйте !


 


Расширение с id имя_файла.id-3629E235.[veracrypt@foxmail.com].adobe


 


Зашифровано буквально всё (БД, Фото и т.д.).


 


Прикрепленные файлы:

- образцы зашифрованных файлов (разного типа: фото, текст, офис);

- файлы Addition и FRST (по несколько шт.).

 

Что ещё необходимо сделать ?

Addition (2).txt

Addition.txt

FRST (2).txt

FRST.txt

IMG_0837.jpg.id-3629E235.veracrypt@foxmail.com.7z

Блокнот.txt.id-3629E235.veracrypt@foxmail.com.7z

Внимание.docx.id-3629E235.veracrypt@foxmail.com.7z

коэфициент.doc.id-3629E235.veracrypt@foxmail.com.7z

ошибка.docx.id-3629E235.veracrypt@foxmail.com.7z

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Что ещё необходимо сделать ?

Предоставить начальные логи по правилам раздела - Порядок оформления запроса о помощи
  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-3629E235.[veracrypt@foxmail.com].adobe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\Юля\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\Юля\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-3629E235.[veracrypt@foxmail.com].adobe', '');
 QuarantineFile('C:\Users\Юля\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-3629E235.[veracrypt@foxmail.com].adobe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\Юля\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\Юля\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-3629E235.[veracrypt@foxmail.com].adobe', '64');
 DeleteFile('C:\Users\Юля\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Юля\AppData\Roaming\Info.hta', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Юля^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте !

Всё выполнил.

 

Скрипт выполнил.

 

Ответ newvirus@kaspersky.com:

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В антивирусных базах информация по присланным вами файлам отсутствует:
desktop.ini.id-3629E235.[veracrypt@foxmail.com].adobe
Info.hta
desktop.ini.id-3629E235.[veracrypt@foxmail.com]_0.adobe

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://forum.kasperskyclub.ru/index.php?showtopic=61961&p=918578

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

 

Повторил всё по правилам:

Kaspersky Virus Removal Tool 2015;
Dr.Web CureIt!.
Ничего не нашли.
Результат работы Autologger прилагаю.
 
эту процедуру провел.
Полученные ссылки после загрузки карантина virusinfo_auto_имя_ПК.zip:

MD5 карантина: 79C3BA6E3F3FC5FE436D02AD31763832
Размер файла: 544871 байт
Ссылка на результаты анализа:
https://virusinfo.info/virusdetector/report.php?md5=79C3BA6E3F3FC5FE436D02AD31763832
Тема для обсуждения результатов анализа:
https://virusinfo.info/showthread.php?t=222011

Больше информации пока не поступало.

CollectionLog-2019.02.17-20.13.zip

Изменено пользователем stiks
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • SS78RUS
      От SS78RUS
      Добрый вечер. 
      С нами случилась ситуация 1в1 с вышеописанной. NAS Zyxel 326 со всеми патчами, отключены все выходы во внешнюю сеть, работал только как локальное хранилище, всё равно атаковали через уязвимость самого NAS -создали облачного пользователя, которого даже удалить не могу.
      Подскажите, какой вариант с починкой файлов? Заранее спасибо.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Din
      От Din
      Есть приватный ключ, подскажите как и чем расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Tadmin
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • DimonD
      От DimonD
      Добрый день. Помогите пожалуйста с расшифровкой файлов? так же на сервак ктото споймал эту гадость. 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • iLuminate
      От iLuminate
      Есть подозрение на взлом, так как при переходе C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Администрирование - Ярлык появляется ярлык которые указан на скриншоте.

      FRST.txt Addition.txt
×
×
  • Создать...