зашифрованы файлы xls, xlsx, doc, docx, jpg расширение не поменялось [Trojan-Ransom.Win32.Gimemo.blzi, Trojan.Win32.Vilsel.bwyv
]
Пользователь открыл ссылку из письма.
Файлы зашифровались.
На рабочем столе появились обои:
"твои файлы зашифрованы, если они тебе нужны напиши мне на почту [email protected]
ваш id vasya сообщите его на почту без него возврат файлов будет затруднителен"
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) vectorman, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Users\Директор\AppData\Local\winrar.exe','');
QuarantineFile('C:\Users\Директор\AppData\Local\Temp\machineupper32.exe','');
QuarantineFile('C:\Users\Директор\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JKSXQJHT\308[1].html','');
DeleteFile('C:\Users\Директор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\notify.txt','32');
DeleteFile('C:\Users\Директор\appdata\local\winrar.exe','32');
DeleteFile('C:\Users\Директор\AppData\Local\Temp\machineupper32.exe','32');
DeleteFile('C:\Users\Директор\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JKSXQJHT\308[1].html','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\winrar','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
В MBAM удалите:
Код:
Обнаруженные параметры в реестре: 1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры:
Обнаруженные файлы: 3
C:\Users\Директор\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JKSXQJHT\308[1].html (Trojan.Zbot) -> Действие не было предпринято.
C:\Users\Директор\AppData\Local\Temp\machineupper32.exe (Trojan.Crypt.NKN) -> Действие не было предпринято.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Windows\my1.bgi','');
DeleteFile('C:\Windows\my1.bgi','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','bginfo');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
не-не bginfo Оригинальный лежит, это утилита от sysinternals, выводит на раб.стол картинку с параметрами компа
есть экзешник, которым заразили комп(3Мб весит), есть 2 файла - один оригинальный, второй шифрованный, могу их прислать
Внимание! Данный дешифратор предназначен только для пользователя vectorman
Во избежание окончательной потери информации использовать данный дешифратор другим пострадавшим не рекомендуется
1. Ввиду медленной расшифровки файлов не пытайтесь скормить сразу слишком много файлов. Это создает эффект зависания программы, а на самом деле дешифровка идет. Скопируйте часть файлов в отдельную папку и расшифровывайте их.
2. Дешифратор создает две копии расшифрованных файлов: А) в первом варианте дешифратор не меняет имя файла, но оставляет в конце файла мусор в виде информации, необходимой для расшифровки. В большинстве случаев такой файл успешно открывается
Исключение: файлы от Microsoft Office 2007, 2010 и некоторых других форматов - смотри п. Б
Б) во втором варианте дешифратор возвращает файл в первоначальное состояние до шифрования, но приписывает к имени файла дополнительно расширение .bak
Если это расширение удалить, то файлы, указанные в исключении п. А, тоже успешно открываются
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
а нормально, что его антивирус нод32 как троян распознает?
.../978a70b32b880de62b86b4f7d030935d/b4737ca19b3af66a9ed0eec9d6cd20f25bf62c58/desh-vasya.zip = ZIP = desh-vasya.exe модифицированный Generik.HYPEONS троянская программа соединение прервано - изолирован
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: