-
Junior Member
- Вес репутации
- 53
Шифровальщик в письме
Добрый день, предположительно запустили из почты шифровальщика(скачали и запустили с файлообменника файл 30EKJker). часть файлов после это не открывается выдает ошибку что формат не поддерживается, или например Excel открывает файл как бы с битой кодировкой.
В корне папки появился текстовый файл с названием README_vbdqp5z1llf0.txt с требованием оплаты.
Писмо пришло под видом рассылки от Российский союз промышленников и предпринимателей <[email protected]>, в нем ссылка на файл:
[удалено].
Есть ли шанс расшифровать файлы?
Последний раз редактировалось mike 1; 11.08.2020 в 21:33.
Причина: Вирусная ссылка
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) bistro, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
-
-
Здравствуйте!
Сообщение от
bistro
текстовый файл с названием README_vbdqp5z1llf0.txt
Этот файл вместе с парой зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.
Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
-
-
Junior Member
- Вес репутации
- 53
в архиве два разных типа файла.
-
Тип вымогателя похож на Decr1pt, расшифровки нет, к сожалению.
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Sandor
Тип вымогателя похож на Decr1pt, расшифровки нет, к сожалению.
Печально, а в системе его больше нет? Я прошёлся Касперским сразу после того как сообщили о шифровании файлов.
-
C:\Users\user\AppData\Roaming\user\tor.exe
C:\Users\user\AppData\Roaming\user\node.exe
C:\Users\user\AppData\Roaming\user\service
Эта папка и файлы вам известны?
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Sandor
Эта папка и файлы вам известны?
Нет, не знакомы.
-
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:
Start::
CreateRestorePoint:
() [File not signed] C:\Users\user\AppData\Roaming\user\tor.exe
(Node.js Foundation -> Node.js) C:\Users\user\AppData\Roaming\user\node.exe
HKLM-x32\...\RunOnce: [{7A47EA25-73D3-4449-B452-75BD4EF49F3A}] => C:\Users\admin\AppData\Local\Temp\{68E66F33-AECE-4E78-AF7E-5C2028F929D4}\{7A47EA25-73D3-4449-B452-75BD4EF49F3A}.cmd [ ] <==== ATTENTION
HKU\S-1-5-21-53156107-587950410-1039258672-1001\...\Run: [Update] => "C:\Users\user\AppData\Roaming\user\node" "C:\Users\user\AppData\Roaming\user\service"
HKU\S-1-5-21-53156107-587950410-1039258672-1001\...\MountPoints2: {987a933d-c3d9-11e9-9f41-e03f49499734} - E:\start.exe
C:\Users\user\AppData\Roaming\user\
FirewallRules: [{F58B0801-CB15-4AFF-A0D7-2D26EC384CA4}] => (Allow) LPort=3702
FirewallRules: [{CC9FFC40-B0A7-4F6E-A681-8CE3FFCBEB64}] => (Allow) LPort=9244
Reboot:
End::
- Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
-
-
Junior Member
- Вес репутации
- 53
после этого еще чем то еще нужно сканировать комп на всякий случай?
-
Компьютер перезагружался после выполнения скрипта?
-
-
Junior Member
- Вес репутации
- 53
-
Давайте ещё так посмотрим:
Сделайте полный образ автозапуска uVS, только программу скачайте отсюда
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Sandor
готово
-
Подозрительного больше не видно.
Проверьте уязвимые места:
- Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
- Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
- Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
- Прикрепите этот файл к своему следующему сообщению.
-
-
Junior Member
- Вес репутации
- 53
-
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.19377 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------- [ HotFix ] --------------------------------
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.7.2 v.4.7.03062 Внимание! Скачать обновления
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.61 (64-разрядная) v.5.61.0 Внимание! Скачать обновления
7-Zip 18.05 v.18.05 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 27 ActiveX v.27.0.0.130 Внимание! Скачать обновления
Adobe Flash Player 27 NPAPI v.27.0.0.130 Внимание! Скачать обновления
Adobe Flash Player 27 PPAPI v.27.0.0.130 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.20.7.3.101 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.0.5.0038 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1901 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Хотфиксы постарайтесь все установить.
Читайте Советы и рекомендации после лечения компьютера.
-
-
Junior Member
- Вес репутации
- 53
Большое спасибо за помощь!