Printable View
Добрый день. Коллега получила спам по почте, открыла и запустила вложение. Файлы jpg, xls, doc зашифровались.
[URL]http://dropmefiles.com/RMRZS[/URL] сюда загрузил зашифрованные файлы (несколько).
Вирус в безопасном режиме удалили из папки temp.
Могу также выслать вложение из почты, где находится вирус.
Уважаемый(ая) [B]Shaonell[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Заразил виртуальную машину чтобы определить что за вирус. CTB-Locker. Насколько я понимаю, вернуть файлы я смогу только заплатив злоумышленникам?
Выполните скрипт в AVZ
[code] begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\KARBAN~1\AppData\Local\Temp\dxinttf.exe','');
DeleteFile('C:\Users\KARBAN~1\AppData\Local\Temp\dxinttf.exe','32');
DeleteFile('C:\Windows\system32\Tasks\wqyqkvf','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Логи сделал,В карантине ничего нет.
Вот такие у них требования
Your documents, photos, databases and other important files have been encrypted
with strongest encryption and unique key, generated for this computer.
Private decryption key is stored on a secret Internet server and nobody can
decrypt your files until you pay and obtain the private key.
If you see the main locker window, follow the instructions on the locker.
Overwise, it's seems that you or your antivirus deleted the locker program.
Now you have the last chance to decrypt your files.
Open [url]http://ohmva4gbywokzqso.onion.cab[/url] or [url]http://ohmva4gbywokzqso.tor2web.org[/url]
in your browser. They are public gates to the secret server.
If you have problems with gates, use direct connection:
1. Download Tor Browser from [url]http://torproject.org[/url]
2. In the Tor Browser open the [url]http://ohmva4gbywokzqso.onion/[/url]
Note that this server is available via Tor Browser only.
Retry in 1 hour if site is not reachable.
Copy and paste the following public key in the input form on server. Avoid missprints.
E7PXOSR-3ZLDTIH-NNCE4DH-AVEBULF-WUV3QKQ-ENOSVLX-FIZSM4D-5F6GMHW
RUMLARJ-Y5AGRRD-EQLDQAC-NNJLA2D-LJX6XEG-2MTQGE2-FYEB3TO-6UMK4LF
FOUIUPV-TAEX7O6-NR5CAYY-SFQWLIU-3DWQXD5-G5ACATC-XJL2TDM-MPCDWPY
Follow the instructions on the server.
C расшифровкой не поможем
Логи в порядке
Ясно. Спасибо. Тему можно закрывать.