Шифровальщик имя_файла.id-3629E235.[veracrypt@foxmail.com].adobe

[stiks]

Здравствуйте !

 

Расширение с id имя_файла.id-3629E235.[veracrypt@foxmail.com].adobe

 

Зашифровано буквально всё (БД, Фото и т.д.).

 

Прикрепленные файлы:

- образцы зашифрованных файлов (разного типа: фото, текст, офис);

- файлы Addition и FRST (по несколько шт.).

 

Что ещё необходимо сделать ?

Addition (2).txt

Addition.txt

FRST (2).txt

FRST.txt

IMG_0837.jpg.id-3629E235.veracrypt@foxmail.com.7z

Блокнот.txt.id-3629E235.veracrypt@foxmail.com.7z

Внимание.docx.id-3629E235.veracrypt@foxmail.com.7z

коэфициент.doc.id-3629E235.veracrypt@foxmail.com.7z

ошибка.docx.id-3629E235.veracrypt@foxmail.com.7z

[Sandor]

Здравствуйте!

 

Что ещё необходимо сделать ?

Предоставить начальные логи по правилам раздела - Порядок оформления запроса о помощи

[stiks]

• Kaspersky Virus Removal Tool 2015;
• Dr.Web CureIt!.

Ничего не нашли.

 

Прилагаю:

- снимок требований;

- файл протоколов (логов).

CollectionLog-2019.02.16-09.10.zip

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-3629E235.[veracrypt@foxmail.com].adobe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\Юля\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\Юля\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-3629E235.[veracrypt@foxmail.com].adobe', '');
 QuarantineFile('C:\Users\Юля\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-3629E235.[veracrypt@foxmail.com].adobe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\Юля\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\Юля\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-3629E235.[veracrypt@foxmail.com].adobe', '64');
 DeleteFile('C:\Users\Юля\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Юля\AppData\Roaming\Info.hta', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Юля^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

[stiks]

Здравствуйте !

Всё выполнил.

 

Скрипт выполнил.

 

Ответ newvirus@kaspersky.com:

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В антивирусных базах информация по присланным вами файлам отсутствует:
desktop.ini.id-3629E235.[veracrypt@foxmail.com].adobe
Info.hta
desktop.ini.id-3629E235.[veracrypt@foxmail.com]_0.adobe

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://forum.kasperskyclub.ru/index.php?showtopic=61961&p=918578

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

 

Повторил всё по правилам:

Kaspersky Virus Removal Tool 2015;

Dr.Web CureIt!.

Ничего не нашли.

Результат работы Autologger прилагаю.

 

эту процедуру провел.

Полученные ссылки после загрузки карантина virusinfo_auto_имя_ПК.zip:

MD5 карантина: 79C3BA6E3F3FC5FE436D02AD31763832
Размер файла: 544871 байт
Ссылка на результаты анализа:
https://virusinfo.info/virusdetector/report.php?md5=79C3BA6E3F3FC5FE436D02AD31763832
Тема для обсуждения результатов анализа:
https://virusinfo.info/showthread.php?t=222011

Больше информации пока не поступало.

CollectionLog-2019.02.17-20.13.zip

Изменено 17 февраля, 2019 пользователем stiks

[stiks]

Здравствуйте !

Есть, хоть какая то надежда ?