шифровальщик [email protected] 1.5.1.0

Printable View

13.09.2018, 22:24
shmit

Вложений: 1

шифровальщик [email protected] 1.5.1.0

Пользователь пк открыл "резюме", пришедшее ему по почте, как итог все текстовые, графические и прочие файлы зашифровались и стали иметь имя [email][email protected][/email]-CL 1.5.1.0..... в папках с зашифрованными файлами текстовый файл REDMI с предложением отправиться на сайт.
Есть ли возможность расшифровать файлы и какой скрипт использовать для чистки системы от этого вируса???

Заранее спасибо за помощь.
13.09.2018, 22:25
Info_bot

Уважаемый(ая) [B]shmit[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
14.09.2018, 09:19
Sandor

Здравствуйте!

[quote="shmit;1488504"]Есть ли возможность расшифровать файлы[/quote]
Нет.

Файл
[QUOTE]C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\printer.bat[/QUOTE]
вам известен?
Откройте его аккуратно блокнотом и процитируйте содержимое.
14.09.2018, 09:57
shmit

Данный файл известен, создавался для доступа к принтеру пк не входящему в доменную сеть, там только путь к принтеру, логин и пароль к нему
14.09.2018, 10:51
Sandor

Плюс еще назначенное задание. Но раз известен, то и ладно.

[URL=http://virusinfo.info/showthread.php?t=4491]"Пофиксите" в HijackThis[/URL]:
[CODE]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = http=127.0.0.1:2080 (enabled)
R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies: (default) = 1http=127.0.0.1:2080
O4 - MSConfig\startupreg: 1559823 [command] = 1559823 (file missing) (HKLM) (2018/09/13)
O4 - MSConfig\startupreg: 1910755 [command] = 1910755 (file missing) (HKLM) (2018/09/13)
O4 - MSConfig\startupreg: 728195 [command] = 728195 (file missing) (HKLM) (2018/09/13)
O7 - TroubleShoot: [EV] HKU\S-1-5-19\..\Environment: [TEMP] = (not exist)
O7 - TroubleShoot: [EV] HKU\S-1-5-19\..\Environment: [TMP] = (not exist)
[/CODE]

Дополнительно:
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] (или с [url=http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/]зеркала[/url]) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B] и [B]Addition.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
14.09.2018, 18:23
shmit

Вложений: 2

просканировал
15.09.2018, 18:06
Sandor

[LIST][*] Отключите до перезагрузки антивирус.[*] Выделите следующий код:
[code]Start::
CreateRestorePoint:
ProxyEnable: [S-1-5-21-1151930644-1331133782-410218875-1000] => Proxy is enabled.
ProxyServer: [S-1-5-21-1151930644-1331133782-410218875-1000] => http=127.0.0.1:2080
AutoConfigURL: [S-1-5-21-1151930644-1331133782-410218875-1000] => http=127.0.0.1:2080
Toolbar: HKU\S-1-5-21-1151930644-1331133782-410218875-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
2018-09-04 11:49 - 2018-09-04 11:49 - 000000127 _____ C:\Program Files\README.txt
2018-09-04 11:46 - 2018-09-04 11:46 - 000000127 _____ C:\Users\Ludmila\Desktop\README.txt
2018-09-04 11:43 - 2018-09-04 11:43 - 000000127 _____ C:\Program Files\Common Files\README.txt
2018-09-04 11:42 - 2018-09-04 11:42 - 000000127 _____ C:\Users\README.txt
2018-09-04 11:42 - 2018-09-04 11:42 - 000000127 _____ C:\Users\Ludmila\AppData\Roaming\README.txt
2018-09-04 11:42 - 2018-09-04 11:42 - 000000127 _____ C:\Users\Ludmila\AppData\README.txt
2018-09-04 11:05 - 2018-09-04 11:05 - 000000127 _____ C:\Users\Ludmila\AppData\LocalLow\README.txt
2018-09-04 10:18 - 2018-09-04 10:18 - 000000127 _____ C:\Users\Ludmila\AppData\Local\README.txt
2018-09-04 10:18 - 2018-09-04 10:18 - 000000127 _____ C:\Users\Ludmila\AppData\Local\Apps\README.txt
2018-09-04 10:17 - 2018-09-04 11:50 - 000000127 _____ C:\Users\Все пользователи\README.txt
2018-09-04 10:17 - 2018-09-04 11:50 - 000000127 _____ C:\ProgramData\README.txt
2018-09-04 10:17 - 2018-09-04 10:17 - 000000127 _____ C:\Users\Public\Documents\README.txt
2018-09-04 10:17 - 2018-09-04 10:17 - 000000127 _____ C:\Users\Public\Desktop\README.txt
2018-09-04 10:17 - 2018-09-04 10:17 - 000000127 _____ C:\Users\Default\README.txt
2018-09-04 10:17 - 2018-09-04 10:17 - 000000127 _____ C:\Users\Default\Downloads\README.txt
2018-09-04 10:17 - 2018-09-04 10:17 - 000000127 _____ C:\Users\Default\Documents\README.txt
2018-09-04 10:17 - 2018-09-04 10:17 - 000000127 _____ C:\Users\Default\Desktop\README.txt
2018-09-04 10:17 - 2018-09-04 10:17 - 000000127 _____ C:\Users\Default\AppData\Roaming\README.txt
2018-09-04 10:17 - 2018-09-04 10:17 - 000000127 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-09-04 10:17 - 2018-09-04 10:17 - 000000127 _____ C:\Users\Default\AppData\README.txt
2018-09-04 10:17 - 2018-09-04 10:17 - 000000127 _____ C:\Users\Default\AppData\Local\README.txt
2018-09-04 10:17 - 2018-09-04 10:17 - 000000127 _____ C:\Users\Default User\Downloads\README.txt
2018-09-04 10:17 - 2018-09-04 10:17 - 000000127 _____ C:\Users\Default User\Documents\README.txt
2018-09-04 10:17 - 2018-09-04 10:17 - 000000127 _____ C:\Users\Default User\Desktop\README.txt
2018-09-04 10:17 - 2018-09-04 10:17 - 000000127 _____ C:\Users\Default User\AppData\Roaming\README.txt
2018-09-04 10:17 - 2018-09-04 10:17 - 000000127 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-09-04 10:17 - 2018-09-04 10:17 - 000000127 _____ C:\Users\Default User\AppData\README.txt
2018-09-04 10:17 - 2018-09-04 10:17 - 000000127 _____ C:\Users\Default User\AppData\Local\README.txt
2018-09-04 10:17 - 2018-09-04 10:17 - 000000127 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
Reboot:
End::[/code][*] Скопируйте выделенный текст (правой кнопкой - Копировать).[*] Запустите FRST (FRST64) от имени администратора.[*] Нажмите [B]Fix[/B] один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.[/LIST]
Компьютер будет перезагружен автоматически.
23.09.2018, 00:11
mike 1

+ Пришлите несколько зашифрованных файлов