Вирус-шифровальщик

Printable View

21.05.2015, 15:34
mazafasta

Вирус-шифровальщик

Добрый день! Компания-клиент поймала вирус-шифровальщик. Во вложении: key файл, конфигурация компа, скриншот окна вымогателя, лог Cure It, пример зараженного файла . Обращались в Dr.web, у них нет шифроключа для этого энкодера.

Заранее спасибо!

Вложение: [URL]https://drive.google.com/file/d/0B-30Hv6Bc3bXTUZCRjRRUFdWMlE/view?usp=sharing[/URL]
21.05.2015, 15:36
Info_bot

Уважаемый(ая) [B]mazafasta[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
21.05.2015, 22:35
thyrex

[url]http://virusinfo.info/pravila.html[/url]
22.05.2015, 15:04
mazafasta

Вот данные AVZ и HiJackThis

[url]https://drive.google.com/file/d/0B-30Hv6Bc3bXaF9YWUpvRkl1am8/view?usp=sharing[/url]
[url]https://drive.google.com/file/d/0B-30Hv6Bc3bXcWJKYTFjcnUxcE0/view?usp=sharing[/url]
[url]https://drive.google.com/file/d/0B-30Hv6Bc3bXNjRBOERPeEJ3RTA/view?usp=sharing[/url]
[url]https://drive.google.com/file/d/0B-30Hv6Bc3bXd0EweUZBemVjS28/view?usp=sharing[/url]
23.05.2015, 10:14
thyrex

Логи прикрепляем на форуме через кнопку Расширенный режим
25.05.2015, 10:07
mazafasta

Вложений: 4

вот
26.05.2015, 13:38
thyrex

c:\windows\333.exe - что за файл?

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DeleteFile('C:\Documents and Settings\manager 9\Application Data\f82a30ba4602d9a8.hta','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','5e86e626');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

[B][COLOR="Blue"]Сделайте новые логи по правилам[/COLOR][/B]
26.05.2015, 14:58
mazafasta

c:\windows\333.exe - это программа AMMYY Admin v3.5 (лицензия, используем во многих компаниях).

Запустим скрипт как будет доступ к зараженному ПК. Спасибо!
27.05.2015, 12:53
mazafasta

Вложений: 4

То что не влезло во вложения:
Видимо то что вышло из скрипта: [url]https://drive.google.com/file/d/0B-30Hv6Bc3bXNHdmaHFtcHRvdk0/view?usp=sharing[/url]
Карантин(появилась папка после выполнения скриптов): [url]https://drive.google.com/file/d/0B-30Hv6Bc3bXNEh3NU5RckUxQXc/view?usp=sharing[/url]

P.S. Возможно ли восстановить поврежденные файлы?
27.05.2015, 23:59
thyrex

С расшифровкой не поможем
29.05.2015, 11:07
mazafasta

Жаль, но всё равно большое спасибо за помощь!