Зацепили шифровальщика от 3441546223@qq.com

[Олег Геннадьевич]

CollectionLog-2020.05.26-15.54.zip Прошу помощи в восстановлении файлов (doc. exel. jpg) 

[Sandor]

Здравствуйте!

 

Пару зашифрованных файлов вместе с запиской Info.hta упакуйте в архив и прикрепите к следующему сообщению.

Но скорее всего расшифровки нет. Будет только очистка следов.

 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Цитата

Кнопка "Яндекс" на панели задач

Менеджер браузеров

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Oleg\AppData\Roaming\1task.exe', '');
 QuarantineFile('C:\Users\Oleg\AppData\Roaming\Info.hta', '');
 DeleteFile('C:\Users\Oleg\AppData\Roaming\1task.exe', '32');
 DeleteFile('C:\Users\Oleg\AppData\Roaming\1task.exe', '64');
 DeleteFile('C:\Users\Oleg\AppData\Roaming\Info.hta', '32');
 DeleteFile('C:\Users\Oleg\AppData\Roaming\Info.hta', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '1task.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '1task.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Oleg\AppData\Roaming\Info.hta', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Oleg\AppData\Roaming\Info.hta', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
RebootWindows(true);
end.

 

Компьютер перезагрузится. 

После перезагрузки, выполните такой скрипт:

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. 
Прикрепите к следующему сообщению свежий CollectionLog.
 

 

[Олег Геннадьевич]

20 часов назад, Олег Геннадьевич сказал:

CollectionLog-2020.05.26-15.54.zip Прошу помощи в восстановлении файлов (doc. exel. jpg) 

Здесь зашифрованные файлы

ПАРКОВАЯ.7z

 

4 часа назад, Олег Геннадьевич сказал:

Здесь зашифрованные файлы

ПАРКОВАЯ.7z 398 kB · 0 загрузок

При запуске  скрипта в AVZ выскочило сообщение " Ошибка "BEGIN" expected в позиции 1:1

[SQ]

Здравствуйте,

В поле код попал лишний символ "]", я его удалил, могли бы пожалуйста выполнить еще раз рекомендации консультанта Sandor касаемо скрипта AVZ.

[Олег Геннадьевич]

23 часа назад, SQ сказал:

Здравствуйте,

В поле код попал лишний символ "]", я его удалил, могли бы пожалуйста выполнить еще раз рекомендации консультанта Sandor касаемо скрипта AVZ.

 

CollectionLog-2020.05.28-04.47.zip

[Sandor]

Это логи уже с другой системы. Была переустановка?

 

Тип вымогателя Dharma (.cezar Family) или Crysis по терминологии ЛК. К сожалению, расшифровки нет.

[Олег Геннадьевич]

Да. Переустановили систему. После чистки от вируса старая система стала работать некорректно. 

19 часов назад, Sandor сказал:

Это логи уже с другой системы. Была переустановка?

 

Тип вымогателя Dharma (.cezar Family) или Crysis по терминологии ЛК. К сожалению, расшифровки нет.

Очень жаль. Прям очень, очень.