21 сообщение в этой теме

Добрый день. Получил письмо, думал поставщики по ошибке отправили, такое случалось. Оказался вирус, зашифровал файлы формата docx, xlsx, jpg, pdf. Соответственно эти файлы не открываются. Во вложении сам файл и архив после сканирования.

 

CollectionLog-2017.01.11-17.35.zip

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Здравствуйте!

"Пофиксите" в HijackThis :

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = C:\Program Files\i2p\scripts\i2pProxy.pac
R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies,(Default) = 0C:\Program Files\i2p\scripts\i2pProxy.pac

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
AutoConfigURL: [S-1-5-21-699453313-3146615548-1461102757-1001] => C:\Program Files\i2p\scripts\i2pProxy.pac
ManualProxies: 0C:\Program Files\i2p\scripts\i2pProxy.pac
C:\Users\User\AppData\Local\Temp\4a0f17b9936.exe
C:\Users\User\AppData\Local\Temp\exereader.exe
C:\Users\User\AppData\Local\Temp\mini_installer_new.exe
HKU\S-1-5-21-699453313-3146615548-1461102757-1001\...\ChromeHTML: ->  <==== ATTENTION
AlternateDataStreams: C:\Users\User\Desktop\д3п.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\User\Desktop\д3п.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\User\Desktop\завесы.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\User\Desktop\завесы.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\User\Desktop\завесы1.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\User\Desktop\завесы1.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\User\Desktop\завесы2.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\User\Desktop\завесы2.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\User\Desktop\Скан служебки по превышению.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\User\Desktop\Скан служебки по превышению.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\User\Desktop\Служебка по опрессовщику.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\User\Desktop\Служебка по опрессовщику.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
Reboot:
end


и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
FRST_move.png

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
 

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мы пока удаляли следы.

Постарайтесь найти пару зашифрованный/не зашифрованный. Если найдете, упакуйте и прикрепите к следующему сообщению, вместе с файлом ключа и (если есть) текстом вымогателей.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Письмо пришло видимо с целью навредить. Никакого банера или текста об оплате нет. Не совсем понял что значит найти пару зашифрованный/не зашифрованны. В момент открытия вируса был открыт документ docx, он  не зашифровался. Его отправить и любой другой того же формата? Теперь Касперский нашел троянскую программу Trojan-Ransom.JS.Agent.dy. Что можно ещё предпринять?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, srednij сказал:

Не совсем понял что значит найти пару

К примеру, есть зашифрованный файл "образец.doc" (вероятно с другим расширением) и есть в другом месте (на флэшке, на другом ПК и т.п.) такой же файл, но не зашифрованный.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть 2 картинки. Вставляется только незашифрованный

Ответ с производства кожухов.jpg

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
12 минуты назад, srednij сказал:

Вставляется только незашифрованный

Упакуйте оба с паролем на архив.

Изменено пользователем Sandor
0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, Sandor сказал:

вместе с файлом ключа

Один из этих файлов:

Цитата

C:\Users\User\Desktop\RUD2A-35XRE-HXTHX-EETXE-HXTHX-TOOXZ-OXTXR-EXYYY.KEY

C:\Users\User\AppData\Roaming\RUD2A-35XRE-HXTHX-EETXE-HXTHX-TOOXZ-OXTXR-EXYYY.KEY

C:\RUD2A-35XRE-HXTHX-EETXE-HXTHX-TOOXZ-OXTXR-EXYYY.KEY

тоже, пожалуйста, прикрепите.

И наберитесь терпения, обещать пока ничего не буду.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Включите в проводнике отображение скрытых и системных файлов.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вынужден Вас огорчить, это новый шифровальщик Spora. Инструментов по расшифровке пока не предвидится.

Если повезет, пробуйте восстановить файлы средствами Windows.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!


Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.


Войти сейчас