Добрый день!
гл.бух на почту получила письмо с вложением info.zip якобы от банка. Архив открыла и соответственно потыкала в файл. Запустился шифровальщик. До конца зашифровать все не успел, ребутнули комп. Зловреда погоняли авастом и каспом - удалился (висел в процессе csrcc.exe, антивирусом определился как IDP.ALEXA.51). Можно ли как-то теперь дешифровать файлы. В основном зашифровало файлы с расширением xls.
п.с. архив с файлом-зловредом есть, если нужно вышлю.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Tavi, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\PROGRA~1\COMMON~1\ave','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows\csrss.exe','');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows\csrss.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
HKLM Group Policy restriction on software: 1.txt <==== ATTENTION
HKLM Group Policy restriction on software: lwqtabgzcuuofljo.exe <==== ATTENTION
HKLM Group Policy restriction on software: snkb0ptz.exe <==== ATTENTION
HKU\S-1-5-21-4054932732-2240947048-505607613-1365 Group Policy restriction on software: snkb0ptz.exe <==== ATTENTION
HKU\S-1-5-21-4054932732-2240947048-505607613-1365 Group Policy restriction on software: lwqtabgzcuuofljo.exe <==== ATTENTION
HKU\S-1-5-21-4054932732-2240947048-505607613-1365 Group Policy restriction on software: 1.txt <==== ATTENTION
Закройте и сохраните все открытые приложения.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
Start::
CreateRestorePoint:
CloseProcesses:
C:\Documents and Settings\All Users\Application Data\System32\xfs
C:\Documents and Settings\All Users\Application Data\System32
C:\Documents and Settings\All Users\Application Data\Windows
Reboot:
End::
Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
- - - - -Добавлено - - - - -
Сообщение от Tavi
Есть ли какие-то шансы дешифровать файлы?
Могли бы приложить файлы злоумышлинников о требованиях. И какое расширение у зашифрованных файлов?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Могли бы приложить файлы злоумышлинников о требованиях. И какое расширение у зашифрованных файлов?
расширение .crypted000007.
текст сообщения:
Bашu фaйлы были зашифpованы.
Чmобы расшuфpовaть их, Вам нeобходuмo omпpaвиmь kод:
B46593DF052E8028A936|0
нa электронный адрec [email protected] .
Далeе вы пoлучumе все нeобxoдuмые uнстрykциu.
Попыmkи рaсшuфровaть самоcтoятельно не nрuвeдyт нu k чему, kрoмe безвoзвpатной поmeрu инфopмaцuu.
Eслu вы всё же хoтитe nопыmamьcя, тo nредвaриmeльнo cделaйmе рeзеpвные копиu файлoв, uнaче в слyчae
их uзмeнeния рacшифpовkа cтaнет невозмoжной нu пpu какux ycлoвияx.
Ecлu вы не nолyчилu оmвеma по вышеyказаннoмy aдpeсy в meченue 48 часов (и moлько в эmом слyчaе!),
вoсnoльзуйтeсь формой oбраmной cвязu. Эmо мoжно cделamь двyмя cпocoбaмu:
1) Cкачaйте u ycmaновume Tor Browser по ccылкe: https://www.torproject.org/download/...d-easy.html.en
B aдрecной cmpоkе Tor Browser-а ввeдuтe адрeс: http://cryptsen7fo43rr6.onion/
u нажмuтe Enter. 3arpyзumcя cтрaница с фoрмoй oбратной cвязu.
2) В любoм бpayзeрe nеpeйдume nо oднoмy uз адреcов: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/
могу приложить архив с самим вирусом, оригинальным doc-файлом и шифрованным doc-файлом.
К сожалению у нас нет решение(расшифровки), но оно может быть у Лаборатории Касперского (опять же без гарантий), если есть у Вас лицензия на продукты Лаборатории Касперского или других вендров (например DrWeb), пробуйте к ним обратиться.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
К сожалению у нас нет решение(расшифровки), но оно может быть у Лаборатории Касперского (опять же без гарантий), если есть у Вас лицензия на продукты Лаборатории Касперского или других вендров (например DrWeb), пробуйте к ним обратиться.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: