Показано с 1 по 17 из 17.

Зашифровано cryptolocker@aol.com (заявка № 161633)

  1. #1
    Junior Member Репутация
    Регистрация
    17.06.2014
    Сообщений
    11
    Вес репутации
    10

    Зашифровано cryptolocker@aol.com

    В общем словили эту заразу. Текстовое сообщение: еще не все потеряно, файлы можно вернуть! пиши на этот адрес!!! cryptolocker@aol.com. Сохранил скрипт с которого началось заражение архив ZPX993023L [удалено] больше 2,5 МБ. Содержимое папки C:\Program Files\ООО СЛУЖЕБНЫЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ. Был еще кусок заразы winrar.exe, сохранить не удалось. Еще по ссылке человек вроде делится лекарством https://yadi.sk/d/qq-1uN-dTff7S пароль: infected
    Буду благодарен за любую помощь.
    Вложения Вложения
    Последний раз редактировалось Nekhoch; 19.06.2014 в 19:34.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,266
    Вес репутации
    327
    Уважаемый(ая) Nekhoch, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    1. Какой ID просят сообщить?

    2. Логи с нескольких машин прикрепили?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  5. #4
    Junior Member Репутация
    Регистрация
    17.06.2014
    Сообщений
    11
    Вес репутации
    10
    Приветствую.
    1. ID никакого. Сообщение оригинал- "еще не все потеряно, файлы можно вернуть! пиши на этот адрес!!! cryptolocker@aol.com"
    2. Да логи с 2-х машин подвергшихся заражению.

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Цитата Сообщение от Nekhoch Посмотреть сообщение
    Да логи с 2-х машин подвергшихся заражению.
    Запустили на двух машинах?

    В любом случае логи с разных машин - в отдельные темы. Причем логи выложите непереименованные, а в том виде, как они получаются согласно правил

    Цитата Сообщение от Nekhoch Посмотреть сообщение
    ID никакого.
    Такого быть не может
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    17.06.2014
    Сообщений
    11
    Вес репутации
    10
    Отредактировал сообщение. В аттаче оригинал текстового файла который лежал в автозагрузке. Про ID ничего не было сказано. Ссылка на скрипт еще нужна?

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Да, странно. Я уже проверил на виртуалке. Действительно нет ID

    - - - Добавлено - - -

    Боюсь, что и сам автор не сможет впоследствии это расшифровать
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    Junior Member Репутация
    Регистрация
    17.06.2014
    Сообщений
    11
    Вес репутации
    10
    Без ключа? В том то и дело что читал сообщения о том что деньги переводят, а дешифратора не получают.

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Ключ обычно идентифицируется по ID.

    Цитата Сообщение от Nekhoch Посмотреть сообщение
    В том то и дело что читал сообщения о том что деньги переводят, а дешифратора не получают.
    Решать, конечно, Вам. За последние пару дней у нас появилось уже 2 дешифратора для этой почты (один, кстати, благодаря Вашей ссылке на Яндекс-диск). Так что после оплаты вряд ли обманет автор
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    17.06.2014
    Сообщений
    11
    Вес репутации
    10
    Мне ждать от Вас каких то конкретных рекомендаций? Или под виртуалкой попробовать копии файлов дешифровать? Тут ситуация презабавная, шеф в командировке не знает о том что сотрудники напакостили, да еще сами себе. Кстати часть сетевого общедоступного хранилища частично зашифровано. В понедельник я не знаю что будет. Народ как обычно бэкапы не делал...

  12. #11
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Пересоздайте ярлыки запуска браузеров

    Рекомендаций по дешифровке точно не будет. Нужен оригинальный дешифратор

    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Users\Иван\AppData\Local\Yandex\Updater2\BrowserManager.exe','');
     QuarantineFile('C:\Users\Иван\AppData\Local\winrar.exe','');
     DeleteFile('C:\Users\Иван\AppData\Local\Yandex\YandexBrowser\Application\browser.url','32');
     DeleteFile('C:\Users\Иван\AppData\Local\winrar.exe','32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  13. #12
    Junior Member Репутация
    Регистрация
    17.06.2014
    Сообщений
    11
    Вес репутации
    10
    Сделаю, но к сожалению завтра, логи выложу. Живу в Красноярске. Вы ни могли бы как то в ПМ или на почту скинуть другой вариант дешифратора. Буду пробовать, вариантов не много.

  14. #13
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    И все-таки есть ID. Вам повезло и есть дешифратор

    information

    Информация

    Внимание! Данный дешифратор предназначен только для пользователя Nekhoch
    Во избежание окончательной потери информации использовать данный дешифратор другим пострадавшим
    не рекомендуется





    Дешифратор

    Принцип работы с дешифратором:

    1. Ввиду медленной расшифровки файлов не пытайтесь скормить сразу слишком много файлов. Это создает эффект зависания программы, а на самом деле дешифровка идет. Скопируйте часть файлов в отдельную папку и расшифровывайте их.

    2. Дешифратор создает две копии расшифрованных файлов:
    А) в первом варианте дешифратор не меняет имя файла, но оставляет в конце файла мусор в виде информации, необходимой для расшифровки. В большинстве случаев такой файл успешно открывается
    Исключение: файлы от Microsoft Office 2007, 2010 и некоторых других форматов - смотри п. Б

    Б) во втором варианте дешифратор возвращает файл в первоначальное состояние до шифрования, но приписывает к имени файла дополнительно расширение .bak
    Если это расширение удалить, то файлы, указанные в исключении п. А, тоже успешно открываются
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  15. thyrex получил(а) благодарность за это сообщение от


  16. #14
    Junior Member Репутация
    Регистрация
    17.06.2014
    Сообщений
    11
    Вес репутации
    10
    Вы однозначно волшебник! Буду пробовать о результатах обязательно отпишусь. Информация по скрипту, карантину, логам Вам понадобится?

  17. #15
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Цитата Сообщение от Nekhoch Посмотреть сообщение
    Информация по скрипту, карантину, логам Вам понадобится?
    Конечно, скрипт выполните

    Цитата Сообщение от Nekhoch Посмотреть сообщение
    Вы однозначно волшебник!
    Все просто - на виртуалке наконец-то сменилась обоина на вирусную. Там и написан ID
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  18. thyrex получил(а) благодарность за это сообщение от


  19. #16
    Junior Member Репутация
    Регистрация
    17.06.2014
    Сообщений
    11
    Вес репутации
    10
    Сделаю обязательно!

  20. #17
    Junior Member Репутация
    Регистрация
    17.06.2014
    Сообщений
    11
    Вес репутации
    10
    Дешифратор сработал на обеих машинах. Запустил скрипт, сделал обновленные логи. При просмотре карантина обнаружился только autorun от WS 2012 R2. Смысла высылать Вам его не вижу. Логи скину завтра, сил нет... Спасибо за помощь. Буду настаивать у начальства на "ковре" о помощи проекту!

Присоединяйтесь к нам в соцсетях!

Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

Похожие темы

  1. Зашифровано PLAGUE17
    От Shmel_74 в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 23.05.2014, 19:23
  2. Ответов: 2
    Последнее сообщение: 19.02.2014, 21:07
  3. Зашифрованніе данные вирусом decryptyoufiles@yahoo.com
    От Svetulja_b в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 26.07.2013, 13:32
  4. Все зашифровано [HEUR:Trojan.Win32.Generic ]
    От avstepanov в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 30.06.2013, 17:22
  5. всё зашифровано FTCODE что делать ?
    От Марат Сафронов в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 27.02.2013, 10:15

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01417 seconds with 21 queries