Сотрудница запустила вложение из письма, теперь закодированы файлы и изменены расширения на [email protected]. Подскажите, пожалуйста, что нам делать.
Сотрудница запустила вложение из письма, теперь закодированы файлы и изменены расширения на [email protected]. Подскажите, пожалуйста, что нам делать.
Уважаемый(ая) elsa15, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Вложение из письма сохранилось?
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin ExecuteAVUpdate; ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('C:\PROGRA~3\Mozilla\csalzgi.exe',''); DeleteFile('C:\PROGRA~3\Mozilla\csalzgi.exe','32'); DeleteFile('C:\Windows\system32\Tasks\zojdqhe','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
+ Картинку зашифрованную в архиве пришлите.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Похоже нет. В письме была ссылка http://artisticrock.com/pics/ сейчас там нет ни чего. Похоже от туда скачали файл. Смотрел во временных интернет файлах нашел подозрительный файл с именем 74E0.exe, но судя по дате он там давно лежит. В папке ЗАГРУЗКИ тоже ни чего.
- - - Добавлено - - -
virusinfo_syscure.zipvirusinfo_syscheck.ziphijackthis.log1. закинуть карантин не смог -> при попытке отправить файл 'quarantine.zip' Получил: Результат загрузки Ошибка загрузки. Данный файл уже был загружен.
2. прикрепил
3. Вот картинка https://cloud.mail.ru/public/c44d0a0...asinomtgox.com
- - - Добавлено - - -
извините, картинку не в архиве выслал, вот в архиве https://cloud.mail.ru/public/750453d1e4cf/111.jpg.contact%40casinomtgox.zip
Информация
Внимание!
Данная рекомендация по расшифровке предназначена только для пользователя elsa15
Во избежание окончательной потери информации использовать ее другим пострадавшим от данной разновидности шифровальщика без нашей предварительной проверки не рекомендуется
Скачайте te102decrypt.exe и сохраните в корень диска С.
В командной строке введите:
Внимание!!!Код:C:\te102decrypt.exe -k 567 –t 12
1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет
2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал все как написали, запустил от администратора C:\te102decrypt.exe -k 567 -t 12, но к сожалению ни один файл корректно не декодировался. Может есть другие варианты?
Прикрепите несколько файлов которые не расшифровались.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
В архивахдо декодирования
https://cloud.mail.ru/public/d686b07...0%9D%D0%90.pdf
https://cloud.mail.ru/public/2b6a0e4...%D0%90.pdf.zip
https://cloud.mail.ru/public/d61fa57172a9/Scan1.JPG
https://cloud.mail.ru/public/c34146a73f49/Scan1.JPG.zip
https://cloud.mail.ru/public/657eeda...%A2%D0%9F.docx
https://cloud.mail.ru/public/02e063f...D0%9F.docx.zip
Все присланные файлы успешно расшифровались. Прикрепите лог C:\te102.txt
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
это обнадеживает!!!
https://cloud.mail.ru/public/921c529fca56/te102log.txt
Здесь C:\te102decrypt.exe__-k в команде лишний пробел попробуйте его убрать.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
В командной строке лишнего пробела не обнаружил, но перенабрал и запустил. Дескриптор еще работает не знаю какой будет процент всех вылеченных файлов, но пока все отлично декодируется! ОГРОМНОЕ СПАСИБО! И кошелек ваш через яндекс пополнил и базу чистых файлов пополню!
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Советы и рекомендации после лечения компьютера
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Уважаемый(ая) elsa15, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.