как у многих после письма некомпетентному пользователю от якобы судебных приставов, зашифровались многие файлы: ворда, экселя, картинки и сканы в ПДФ, архивы, базы 1С и даже резервные их копии.
бухгалтерша нуб, ни о каких копиях речи не идёт, и даже архивация системы только к диску С относится, а базы на Д лежат... Молю о помощи! во вложении необходимые сканы системы и несколько шифрованных файлов.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) amarakin, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\1\appdata\roaming\digita~1\update~1\update~1.exe','');
QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Судебный приказ - судебное постановление, вынесенное судьей единолично на основании заявления о взыскании денежных сумм или.exe','');
DeleteFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Судебный приказ - судебное постановление, вынесенное судьей единолично на основании заявления о взыскании денежных сумм или.exe','32');
DeleteFile('C:\Windows\system32\Tasks\DealPlyUpdate','64');
DeleteFile('C:\Windows\system32\Tasks\DealPly','64');
DeleteFile('C:\Windows\Tasks\Digital Sites.job','64');
DeleteFile('C:\Users\1\appdata\roaming\digita~1\update~1\update~1.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
карантин по красной ссылке прислал.правда номер файла не помню((
логи вот: hijackthis.log virusinfo_syscheck.zip
я так то не совсем нуб... просто не удалял ничего чтоб анализ был точнее. и я понимаю что в идеале чтоб всё хорошо было, нужно найти ключ для этого te102decrypt который будет всё дешифровать... я какие пробовал - вроде дешифрует, но они хоть и переименовываются, но не открываются потом.
Последний раз редактировалось amarakin; 05.06.2014 в 16:04.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Users\1\appdata\roaming\microsoft\windows\start menu\programs\startup\судебный приказ - судебное постановление, вынесенное судьей единолично на основании заявления о взыскании денежных сумм или.exe','');
QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Судебный приказ - судебное постановление, вынесенное судьей единолично на основании заявления о взыскании денежных сумм или.exe','');
DeleteFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Судебный приказ - судебное постановление, вынесенное судьей единолично на основании заявления о взыскании денежных сумм или.exe','32');
DeleteFile('C:\Users\1\appdata\roaming\microsoft\windows\start menu\programs\startup\судебный приказ - судебное постановление, вынесенное судьей единолично на основании заявления о взыскании денежных сумм или.exe','32');
DeleteFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pic.bmp','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Код:
O4 - Startup: pic.bmp
O4 - Startup: Судебный приказ - судебное постановление, вынесенное судьей единолично на основании заявления о взыскании денежных сумм или.exe
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
C:\Users\1\Downloads\DownloadSetup_s.exe (PUP.Optional.WinSolution) -> Действие не было предпринято.
C:\Users\1\Downloads\PdfReaderSetup.exe (PUP.Optional.InstallCore) -> Действие не было предпринято.
C:\Windows\winsxs\amd64_microsoft-windows-audio-audiocore_31bf3856ad364e35_6.1.7600.16385_none_d294b5cdfe50c681\audiodg.exe (Trojan.FakeMS) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
мозг подсказывает, что нужно взять файл шифровальщик, и парукилобайтную картинку, на виртуальной машине запустить это дело и получится что есть оригинал картинки и зашифрованная версия... в каком то редакторе поискать чем файлы отличаются... это и будет шифр. ресурсов таких правда сейчас нет(( просто вся работа небольшой фирмы встала из за того что базы 1С зашифрованы... а эти типы кто зашифровал на английском просят 1 биткойн для разшифровки, а это почти 700 баксов, т.е. 23 тыщи рублей... уж очень дорого...
Да не знаю, что и думать больше, может где есть список ключей для te102decrypt? попробовать их все на паре файлов, какой расшифрует - использовать для остальных...
понял, спасибо что хоть пытаетесь!
если всё получится хорошо, совесть не позволит не поблагодарить проект))
а то бухгалтерша уже горючими слезами плачет((
- - - Добавлено - - -
наткнулся на точную копию своей проблемы - картинка та же и требования и письмо такое же пришло:
http://virusinfo.info/showthread.php?t=160939
Не поможет это. Отправил тело шифратора в вирусную лабораторию. Возможно сделают расшифровку и для этого варианта, но нужно время. Возможно только в понедельник что нибудь появится.
Внимание!!!
1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет
2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: