День добрый. Шифровальщик на машине натворил делов - зашифровал все базы и документы (
Пишет такое:
Внимание! Все Ваши файлы зашифрованы!
Чтобы восстановить свои файлы и получить к ним доступ,
напишите электронное письмо по адресу [email protected]
и получите инструкции!
Не пытайтесь самостоятельно рассшифровать файлы это приведет к потере всех данных без возможности востановления!!
У вас есть 5 попыток ввода кода. При превышении этого
количества, все данные необратимо испортятся. Будьте
внимательны при вводе кода!
Прилагаю парочку файлов и отчет автологера.
Буду предельно рад если Вы мне поможете. Заранее спасибо)
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) DarKGryphon, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\User\AppData\Local\Microsoft\Windows\WindowsMediaPlayer\Skins\U\user.vbs','');
DeleteFile('C:\WINDOWS\system32\Tasks\DRPNPS','64');
DeleteFile('C:\Users\User\AppData\Local\Microsoft\Windows\WindowsMediaPlayer\Skins\U\user.vbs','32');
DeleteFile('C:\WINDOWS\system32\Tasks\system','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантиннад первым сообщением темы.
Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
Обратите внимание, что будет выполнена перезагрузка компьютера.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Файл MinerGate.exe мне неизвестен.
Лог в прикрепленном архиве.
Что Вы имеете в виду под грудой фалов? Все зашифрованные файлы ?) Готов прислать! для развития успеха!)
- - - - -Добавлено - - - - -
Какую роль может сыграть в данной ситуации тот факт, что мне удалось восстановить с винта некоторые удаленные после шифрования вирусом файлы? Файлы без имен и открыть на машине я их не могу - офис не запускается. Могу ли я открыть эти файлы на другой машине? (безопасно ли это ?). если да, то я могу попробовать найти файл в зашифрованном и нормальном видах и прислать оба Вам.
- - - - -Добавлено - - - - -
и еще.. Антивирус нашел сие создание : Ransome:Win32/Sorikrypt.A и Trojan:Win32/Dynamer!ac
Сейчас они в карантине, что с ними делать? Пусть там пока повисят или можно удалять?
2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
Обратите внимание, что будет выполнена перезагрузка компьютера.
Сообщение от DarKGryphon
Готов прислать! для развития успеха!)
Расшифрованные файлы из первого сообщения во вложении
Архивируйте шифрованные файлы и выкладывайте на Яндекс диск
Последний раз редактировалось thyrex; 18.11.2017 в 13:58.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Архивы фалов имеют весьма непристойный вес ( ~26 Гб.
Залью в облако и немедленно отпишу, но может есть возможность расшифровать файлы прямо на машине ?
Я по ходу дела попробовал декриптор https://decrypter.emsisoft.com/xorist на файлах из первого поста. Перетащил шифрованный и расшифрованный фалы на приложение... но увы, ключ не нашел (
Все файлы в облаке.
Яндекс диск говорит что первые архивы заражены вирусом и по открытой ссылке показывает все архивы кроме начальных https://yadi.sk/d/kcKopuCv3Gu8RB
Мда, занятное дело. Неужели трудно было прислать только зашифрованные файлы, а не целиком папки, в которых они есть
Завтра-послезавтра надеюсь скачаю оставшиеся 20 частей архива doc, чтобы разархивировать без проблем.
Присылать буду только то, что было зашифровано и восстановлено.
Ввиду конфиденциальности информации архивы с паролем. Пароль отправлен в ЛС
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: