Евгений Давиденко-Санкт-Петербург Gilly can stay as long as she likes. S{с|cannеd with AVG www.avg.com
Вложение:
53590170.gz содержит в себе файл 200516.jse
Видимо, кто-то скачал сей архив и запустил скрипт на компьютере 20.05.2016.
На ПК стоял Kaspersky Free Antivirus версии 16.0.1.445(с) с регулярно обновляемыми антивирусными базами.
После шифрования многие пользовательские файлы оказались переименованы в случайное имя с расширением .da_vinci_code. На рабочем столе появились обои с содержанием:
"Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков"
Содержание файла README.TXT
"Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 2F04754A347F7D9704A6|0 на электронный адрес [email protected] . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае их изменения расшифровка станет невозможной ни при каких условиях. Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!), воспользуйтесь формой обратной связи. Это можно сделать двумя способами: 1) Скачайте и установите Tor Browser по ссылке: https://www.torproje...ad-easy.html.en В адресной строке Tor Browser-а введите адрес: http://cryptsen7fo43rr6.onion/ и нажмите Enter. Загрузится страница с формой обратной связи. 2) В любом браузере перейдите по одному из адресов: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/"
Так же KAV при проверке обнаружил и поместил в карантин файл csrss.exe, определив его как: Trojan-Ransom.Win32.Shade.xs
Скажите пожалуйста, есть ли в данный момент способ расшифровать файлы после воздействия данного вируса?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) zeratul7x, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs','');
DeleteFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантиннад первым сообщением в Вашей теме.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Выполнял схожие инструкции. Логи собирал через FRST, через нее же отправлял обнаруженное в карантин. По этому avz после выполнения предложенного скрипта создала пустой архив карантина. Через форму отправил карантин созданный FRST64.exe
Имеются копии всех обнаруженных файлов, включая пришедший на почту скрипт, которым произошло заражение. При необходимости могу выслать.
Последний раз редактировалось zeratul7x; 25.05.2016 в 00:02.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: