Столкнулся с данным вирусом на рабочем компьютере.
Все файлы с расширениями .pdf, .jpeg, .xlsx, .pdf зашифровались с расширением .crypto, также на рабочем столе появился файл KOD_RAZBLOKIROVKI.txt с сообщением:
ВНИМАНИЕ!!!Ваш идентификатор (ID): bbs226128
Все важные файлы на вашем компьютере зашированны.
Расшифровка средствами антивирусных компаний невозможна.
Попытки восстановить файлы сторонним утилитами могут привести к необратимому повреждению структуры файла. Прежде чем эксперементировать сделайте копии.
Если зашифрованная информация представляет для вас ценность свяжитесь с нами по почте: [email protected] и мы сообщим вам как получить ключ расшифровки.
Проверяйте папку "Спам" сообщения от нас могут попасть туда.
В случае если вы долго не получаете ответа или предидущий емэйл не доступен свяжитесь с нами по запасному: [email protected]
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Sergey-T, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
>> Ограничение отображения дисков в проводнике
>> Заблокированы настройки системы System Restore
>> Internet Explorer - заблокированы настройки
сами блокировали?
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\mamatel1\AppData\Local\Temp\~tmp7624120722811120587.tmp','');
QuarantineFile('C:\Windows\System32\IEautodetectoff.vbs','');
DeleteFile('C:\Users\mamatel1\AppData\Local\Temp\~tmp7624120722811120587.tmp','32');
DeleteFile('C:\WINDOWS\Tasks\rqh9.job','32');
DeleteFile('C:\WINDOWS\system32\Tasks\rqh9','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обнаруженные параметры в реестре: 2
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: ⾩趓풸쯁☓ŕ᯿�㈿ɍᯔ瓦զꒄ굛䎞엮爺菉ケ؝�䨋tฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀԲ奚ꥢ荨䑞䪜䱭궶閫ﬦ㺲ꃘ䤩༏ᔆtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀ惉渞ʱ雝纮ᧆ웾tฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀ컌弅Ჩ -> Действие не было предпринято.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings|AutoConfigURL (Hijack.Autoconfig) -> Параметры: https://comcuerra.com/that/addpic.creo -> Действие не было предпринято.
Без покупки дешифратора у злоумышленников не обойтись
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: