Показано с 1 по 14 из 14.

Шифровальщик переименовал все файлы и добавил к имени файла .id-4962148338_btcpay@aol.com Пожалуйста помогите! (заявка № 184054)

  1. #1
    Junior Member Репутация
    Регистрация
    28.12.2009
    Сообщений
    21
    Вес репутации
    30

    Шифровальщик переименовал все файлы и добавил к имени файла .id-4962148338_btcpay@aol.com Пожалуйста помогите!

    Поймал зловреда он зашифровал файлы doc, docx, ipg, xls,txt, avi и т.д. НОД32 и Касперски подлечил систему, но очень много рабочих документов в нерабочем состоянии.

    Это архив с коринкой, которая лежит у меня в автозагрузке и на ней написаны инструкции злоумышленников, предупреждение о заражении и т.д. https://yadi.sk/d/hUec4Blugn5XM

    Это ссылка на архив с примером файла оригинала и зашифрованного. https://yadi.sk/d/8h-T72pNgn5wD

    Спасибо большое заранее за помощь.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,461
    Вес репутации
    342
    Уважаемый(ая) scorpdark, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    28.12.2009
    Сообщений
    21
    Вес репутации
    30
    Если нужно то выкладываю файлы зашифрованный и после его расшифровки. Прислали мне расшифрованный файлик после общения по эл. почте с злоумышленниками как наглядный пример, что у них есть рабочий дешифратор. https://yadi.sk/d/lMN-dVejgn76c

    - - - - -Добавлено - - - - -

    После тщательной проверки компьютера выяснилось, что на нем побывал ещё один шифратор часть файлов(картинки,музыка,видео,документы) на ПК подверглись шифрованию и обрели новый тип файла "XTBL" (.xtbl), также на рабочем столе появились документы с названием "Readme" в которых указано следующее:

    Ваши файлы были зашифрованы.
    Чтобы расшифровать их, Вам необходимо отправить код:
    73106EDB5EC360F5E793|0
    на электронный адрес decodefiles1@gmail.com или decodefiles@india.com .
    Далее вы получите все необходимые инструкции.
    Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


    All the important files on your computer were encrypted.
    To decrypt the files you should send the following code:
    73106EDB5EC360F5E793|0
    to e-mail address decodefiles1@gmail.com or decodefiles@india.com .
    Then you will receive all necessary instructions.
    All the attempts of decryption by yourself will result only in irrevocable loss of your data.

    Вот такая большая проблема.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Users\админ\AppData\Local\Microsoft\Windows\toolbar.exe','');
     QuarantineFile('C:\Users\админ\AppData\Local\Microsoft\Extensions\extsetup.exe','');
     QuarantineFile('C:\iexplore.bat','');
     QuarantineFile('C:\Users\админ\AppData\Local\Yandex\browser.bat','');
     QuarantineFile('C:\Users\админ\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
     QuarantineFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe','');
     QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\kinoroom-browser.exe','');
     QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
     DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
     DeleteFile('C:\Program Files (x86)\Kinoroom Browser\kinoroom-browser.exe','32');
     DeleteFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe','32');
     DeleteFile('C:\Users\админ\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
     DeleteFile('C:\Users\админ\AppData\Local\Yandex\browser.bat','32');
     DeleteFile('C:\iexplore.bat','32');
     DeleteFile('C:\Users\админ\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\extsetup','64');
     DeleteFile('C:\Windows\system32\Tasks\Kbupdater Utility','64');
     DeleteFile('C:\Windows\system32\Tasks\Safebrowser','64');
     DeleteFile('C:\Windows\system32\Tasks\SystemScript','64');
     DeleteFile('C:\Users\админ\AppData\Local\Microsoft\Windows\toolbar.exe','32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

    Сделайте новые логи по правилам

    Сделайте лог CheckBrowserLnk
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. Это понравилось:


  7. #5
    Junior Member Репутация
    Регистрация
    28.12.2009
    Сообщений
    21
    Вес репутации
    30
    Все сделал!
    Карантин у меня пустой.
    Вложения Вложения

  8. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
    • Распакуйте архив с утилитой в отдельную папку.
    • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке


    • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
    • Прикрепите этот отчет к своему следующему сообщению.


    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. Это понравилось:


  10. #7
    Junior Member Репутация
    Регистрация
    28.12.2009
    Сообщений
    21
    Вес репутации
    30
    Сделал как просили.
    Вложения Вложения

  11. #8
    Junior Member Репутация
    Регистрация
    28.12.2009
    Сообщений
    21
    Вес репутации
    30
    Мне кто нибудь поможет. Есть кто нибудь живой? а то время идет и компьютер ждет лечения.

  12. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
    Код:
    CreateRestorePoint:
    GroupPolicy-x32: Group Policy on Chrome detected <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    CHR HKU\S-1-5-21-2482642417-1934216591-1572776985-1001\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1422025142&from=cor&uid=ST3250310AS_6RY00TVVXXXX6RY00TVV
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422025091&from=cor&uid=ST3250310AS_6RY00TVVXXXX6RY00TVV&q={searchTerms}
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422025091&from=cor&uid=ST3250310AS_6RY00TVVXXXX6RY00TVV&q={searchTerms}
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1422025142&from=cor&uid=ST3250310AS_6RY00TVVXXXX6RY00TVV
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422025091&from=cor&uid=ST3250310AS_6RY00TVVXXXX6RY00TVV&q={searchTerms}
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422025091&from=cor&uid=ST3250310AS_6RY00TVVXXXX6RY00TVV&q={searchTerms}
    SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422025091&from=cor&uid=ST3250310AS_6RY00TVVXXXX6RY00TVV&q={searchTerms}
    SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422025091&from=cor&uid=ST3250310AS_6RY00TVVXXXX6RY00TVV&q={searchTerms}
    SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422025091&from=cor&uid=ST3250310AS_6RY00TVVXXXX6RY00TVV&q={searchTerms}
    SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422025091&from=cor&uid=ST3250310AS_6RY00TVVXXXX6RY00TVV&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2482642417-1934216591-1572776985-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3250310AS_6RY00TVVXXXX6RY00TVV&ts=1422025178&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2482642417-1934216591-1572776985-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=388e17a08dec9d3b064dffe0638c8160&text={searchTerms}
    SearchScopes: HKU\S-1-5-21-2482642417-1934216591-1572776985-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=388e17a08dec9d3b064dffe0638c8160&text=
    SearchScopes: HKU\S-1-5-21-2482642417-1934216591-1572776985-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3250310AS_6RY00TVVXXXX6RY00TVV&ts=1422025178&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2482642417-1934216591-1572776985-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422025142&from=cor&uid=ST3250310AS_6RY00TVVXXXX6RY00TVV&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2482642417-1934216591-1572776985-1001 -> {786A3312-AB6F-4B55-93E9-122A7E5962B0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3250310AS_6RY00TVVXXXX6RY00TVV&ts=1422025178&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2482642417-1934216591-1572776985-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3250310AS_6RY00TVVXXXX6RY00TVV&ts=1422025178&type=default&q={searchTerms}
    DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=388e17a08dec9d3b064dffe0638c8160&text= <==== ATTENTION
    FF Extension: Popup Currency Converter - C:\Users\админ\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{1FE48F08-A2AC-44AC-A21C-0556D91C50DA} [2015-02-01]
    FF Extension: VK Downloader - C:\Users\админ\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6} [2015-02-01]
    FF Extension: No Name -  C:\Users\админ\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{95778f0c-827d-4aba-b416-f07dd840fd6a} [Not Found]
    FF Extension: No Name -  C:\Users\админ\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [Not Found]
    FF Extension: No Name -  C:\Users\админ\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [Not Found]
    2015-02-13 10:42 - 2014-07-22 14:00 - 0876328 ____H (Yandex LLC) C:\Users\админ\AppData\Local\ВrоwsеrМаnаgеr.bаt.exe
    2015-02-25 09:57 - 2015-02-25 09:57 - 0005083 _____ () C:\ProgramData\hwjqxkkr.zva
    2015-05-19 18:25 - 2015-05-19 18:25 - 0310662 _____ () C:\Users\админ\AppData\Roaming\btcpay.bmp
    2015-02-03 11:13 - 2015-02-03 11:13 - 0000000 _____ () C:\Users\админ\AppData\Roaming\smw_inst
    2015-02-13 10:42 - 2015-02-13 10:42 - 0000155 ____H () C:\Users\админ\AppData\Local\BrowserManager.bat
    Task: {A869979B-3187-4E60-8A9D-B6FBC0DC7357} - \Kbupdater Utility No Task File <==== ATTENTION
    Task: {AA776D46-D46B-4CB7-A766-CCF7B585B7F0} - \Safebrowser No Task File <==== ATTENTION
    Task: {C9ECEE07-AD5C-4476-8B0F-FCD3E4108872} - \extsetup No Task File <==== ATTENTION
    Task: {F362F09C-CAAE-4D8A-AA35-446F428937B2} - \SystemScript No Task File <==== ATTENTION
    Reboot:
    • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #10
    Junior Member Репутация
    Регистрация
    28.12.2009
    Сообщений
    21
    Вес репутации
    30
    Здравствуйте,
    Сделал как просили.

    Подскажите на счет расшифровки, есть какие нибудь шансы или нет?
    Вложения Вложения

  14. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    С расшифровкой не поможем
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #12
    Junior Member Репутация
    Регистрация
    28.12.2009
    Сообщений
    21
    Вес репутации
    30
    Это очень печально, что не поможете. Подскажите какие были вирусы которые зашифровали файлы? И компьютер чистый теперь, не будет рецидива?

  16. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Мусор мы Вам почистили. Самого шифровальщика, похоже, уже не было в системе
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #14
    Junior Member Репутация
    Регистрация
    28.12.2009
    Сообщений
    21
    Вес репутации
    30
    Спасибо большое за помощь с лечением ПК.

Похожие темы

  1. Ответов: 3
    Последнее сообщение: 20.05.2015, 20:52
  2. Ответов: 4
    Последнее сообщение: 12.02.2015, 08:40
  3. Ответов: 13
    Последнее сообщение: 16.04.2014, 20:27
  4. Ответов: 7
    Последнее сообщение: 25.03.2014, 19:25
  5. Ответов: 19
    Последнее сообщение: 30.03.2012, 07:10

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00677 seconds with 17 queries