Перейти к содержанию
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Зашифровались файлы (HEUR:Trojan-Downloader.Script.Generic)

Vladij
 Поделиться

Рекомендуемые сообщения

Vladij Новичок

Vladij

Опубликовано
Опубликовано

Случайно запустил JSE файл.
Каспер-онлайн находит HEUR:Trojan-Downloader.Script.Generic
Файл есть, из темпа файлы типа WIN-0N4PR6UIIHB*.log, а также, вроде, нашёл несколько пар - изначальный и перекодированный 

Текст (создны readme.txt) следующий:

Baшu фaйлы были зашифpованы.Чтoбы pаcшuфpoвать их, Вaм нeобxoдимo оmпpавиmь код:
994017C2EE69EA30555C|0
нa электрoнный адрес pilotpilot088@gmail.com .
Дaлее вы nолучиme всe необxодимые инcmpуkции.
Поnыткu рacшuфpoвать cамoсmoяmельнo не пpиведут ни k чeмy, kрoме безвозвраmной nоmeрu инфоpмaциu.
Если вы всё жe хоmитe поnытаmьcя, mo nредваpuтeльнo cделaйmе резeрвныe kопиu фaйлов, иначе в слyчае
иx изменeния pacшифpовкa cmанeт нeвoзмoжной нu nрu каkux ycловuяx.
Если вы нe nолyчuлu отвemа по вышеуkaзaннoму aдресу в mечение 48 чaсов (и moлькo в этом cлучае!),
вocпoльзyйmеcь фopмой обpaтнoй связи. Эmо можнo сделamь двумя споcобамu:
1) Сkачaйmе и ycтанoвиmе Tor Browser по ccылкe: https://www.torproject.org/download/...d-easy.html.en
В адpеcной стpокe Tor Browser-а ввeдите aдpеc:
http://cryptsen7fo43rr6.onion/
u нажмите Enter. Заrpузuтcя cтpaницa c формoй обраmнoй связu.
2) B любом бpаузеpе перейдите no однoму uз aдpеcoв:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

CollectionLog-2019.03.06-12.33.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Это Shade, расшифровки нет, к сожалению.

 

Для очистки его следов и мусора дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
GroupPolicy: Restriction ? <==== ATTENTION
2019-03-06 09:44 - 2019-03-06 13:42 - 000000000 __SHD C:\ProgramData\Windows
FirewallRules: [{0A75A416-A388-4922-A8CB-946D39ACF334}] => (Allow) C:\Users\Admin\AppData\Local\MediaGet2\mediaget.exe No File
FirewallRules: [{AB136DC5-52B2-4ABD-9992-1A1783E3775D}] => (Allow) C:\Users\Admin\AppData\Local\MediaGet2\mediaget.exe No File
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Раз уж вы решили перейти на KIS, дочистите следы Comodo по соотв. инструкции:

Чистка системы после некорректного удаления антивируса.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Правильно понимаю, что обо всех перекодированных файлах можно забыть навсегда?

Скорее всего да. Если только злодеев поймают, либо они сами, раскаявшись, отдадут ключи.

 

На будущее проверьте что следует исправить:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

удалось восстановить с помощью Undelete-программы

Вам повезло.

 

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.253.17763.0 Внимание! Скачать обновления

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

--------------------------- [ OtherUtilities ] ----------------------------

7-Zip 18.01 (x64) v.18.01 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.11126.20188 Внимание! Скачать обновления

^Инструкция по обновлению Microsoft Office.^

Foxit Reader v.7.1.3.320 Внимание! Скачать обновления

^Локализованные версии могут обновляться позже англоязычных!^

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.5.45095 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 60 (64-bit) v.8.0.600.27 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u201-windows-x64.exe)^

Java SE Development Kit 8 Update 60 (64-bit) v.8.0.600.27 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jdk-8u201-windows-x64.exe)^

------------------------------- [ Browser ] -------------------------------

Opera Stable 58.0.3135.79 v.58.0.3135.79 Внимание! Скачать обновления

^Проверьте обновления через меню О программе!^

----------------------------- [ EmailClient ] -----------------------------

Mozilla Thunderbird 60.5.1 (x86 ru) v.60.5.1 Внимание! Скачать обновления

 

 

Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • robocop1974
      Зашифрованные файлы
      Автор robocop1974
      Добрый день. Если есть возможность выяснить есть ли дешифратор?
      Система была переустановлена (но имеется клон, для анализа смогу без проблем предоставить логи Farbar Recovery Scan Tool, но к сожалению позже).
      В архиве несколько зашифрованных файлов.
      *.txt, *.html файлов для выкупа не было. Но была папка с названием "DontDeleteThisFolder" в ней лежал файл "enc". Файл так же в архиве.
       
      Пробовал некоторые дешифраторы с сайта Касперского и Крипто-шерифа, но к сожалению безуспешно.
       
      Заранее спасибо за уделенное время!
       
      files.zip
    • MidgardS1
      Зашифрованы файлы
      Автор MidgardS1
      Привет! Столкнулись с таким же шифровальщиком. Подскажите, есть возможность расшифровать данные?
       
      Сообщение от модератора Mark D. Pearlstone Перенесено из темы.
    • BeckOs
      Зашифрованы все файлы
      Автор BeckOs
      На компьютере зашифрованы все файлы. Атака была ночью 
      FRST.txt files.7z
    • Muk4ltin
      Зловред зашифровал файлы
      Автор Muk4ltin
      Помогите с расшифровыванием файлов или подскажите как действовать? Прикрепил файл с требованием и зашифрованный файл в архиве
      92qjfSsqC.README.txt Специалист-по-ГО.doc.rar
    • Andrey_ka
      зашифрованные файлы
      Автор Andrey_ka
      Добрый день! Может , кто подскажет... попался диск с архивами одного предприятия , диск стоял на NAS Iomega, со временем hdd был поврежден , но данные с него я смог вытащить , файловая структура целая , но как выяснилось ни один из файлов нормально не открывается, уточни у бывших работников и выяснил , что еще до того как он умер у них начались подобные проблемы и большую часть информации они успели переписать ( все указывает на работу вируса шифровальщика) , взяв несколько файлов попытался онлайн прогнать разными анализаторами вирусов , результат один вирусов не обнаружено ... теперь о самих файлах - неважно это файлы doc, docx, pdf и т.д. тенденция прослеживается такая, начало файла смещение 0x2E0 защифрованно, в конец файла добавлено 1126 байт , код начинается D9 9D 68 и полностью одинаковы во всех файлах кроме последних 0x84 байта. Ни то, что бы информация очень востребована , любопытно, что это за вирус и тд... если кому интересно , образцы файлов выложу и дамп концовки ....    
          вставить выделенную цитату в окно ответа
            xТитульный.docx Титульный.docx titdump.txt
×
×
  • Создать...