1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена Зашифровались файлы с расширением bananoff.com@yandex.com

Тема в разделе "Удаление компьютерных вирусов", создана пользователем mku020, 29 апр 2017.

Метки:
  1. mku020
    Оффлайн

    mku020 Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Добрый день. После открытия файлика, пришедшего на почту, стали шифроваться файлы и менять расширение на bananoff.com@yandex.com. После экстренного отключения питания нашлись интересные файлики, возможно исходники вируса. Можно ли в них посмотреть ключ для расшифровки и какой программой можно дешифровть это дело?
     

    Вложения:

    Последнее редактирование модератором: 3 май 2017
  2. Инфо.Бот

    Ботан Злостный спам-бот

    Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. mku020
    Оффлайн

    mku020 Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Добрый день. Зашифровались файлы. Касперский определил Trojan-Ransom.Win32.Xorist.lk. Стандартная утилита для расшифровки не помогла. Логи прилагаются. Прошу помочь разобраться с проблемой.
     
  4. Sandor
    Оффлайн

    Sandor Ассоциация VN/VIP

    Лучший автор месяца

    Сообщения:
    3.385
    Симпатии:
    1.189
    Здравствуйте!

    Где? Забыли прикрепить? :)
     
  5. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.597
    Симпатии:
    3.136
    Темы объединены.

    Сдается мне пользователь (или кто-то из его ближайших родственников юного возраста) сам доэкспериментировался и забыл пароль. Ибо ни один злоумышленник не станет исходники шифратора скачивать на компьютер и компилировать заразу прямо на компьютере жертвы.

    Впрочем ключ расшифровки у меня есть.
     
    shestale и Sandor нравится это.
  6. mku020
    Оффлайн

    mku020 Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Нет, пользователь или родственники тут не при делах. :Acute: Просто успели дернуть питание из БП, а потом не трогали, пока не загрузили с виртуального диска. А как можно получить ключ расшифровки?
     
  7. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.597
    Симпатии:
    3.136
    Ждем логи по правилам
     
  8. mku020
    Оффлайн

    mku020 Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Прикрепляю...
     

    Вложения:

  9. Sandor
    Оффлайн

    Sandor Ассоциация VN/VIP

    Лучший автор месяца

    Сообщения:
    3.385
    Симпатии:
    1.189
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
     QuarantineFile('C:\ProgramData\Windows\svchost.vbs', '');
     QuarantineFile('C:\ProgramData\Windows\explorer.lnk', '');
     QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk', '');
     DeleteFile('C:\ProgramData\Windows\svchost.vbs', '32');
    ExecuteSysClean;
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    end.

     

    Пожалуйста, перезагрузите компьютер вручную.



    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



    Для повторной диагностики запустите снова AutoLogger.
     
  10. mku020
    Оффлайн

    mku020 Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Файлы карантина отправлены. Выкладываю повторный лог диагностики:
     

    Вложения:

  11. Sandor
    Оффлайн

    Sandor Ассоциация VN/VIP

    Лучший автор месяца

    Сообщения:
    3.385
    Симпатии:
    1.189
    Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочкой также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
  12. mku020
    Оффлайн

    mku020 Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Высылаю...
     

    Вложения:

    • Addition.txt
      Размер файла:
      13,7 КБ
      Просмотров:
      1
    • FRST.txt
      Размер файла:
      95,2 КБ
      Просмотров:
      1
    • Shortcut.txt
      Размер файла:
      50,8 КБ
      Просмотров:
      0
  13. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.597
    Симпатии:
    3.136
    C:\Users\Buh\Desktop\америка.exe - этот файл Вам известен?
     
  14. mku020
    Оффлайн

    mku020 Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Нет. Но тоже показался подозрительным.
    --- Объединённое сообщение, 7 май 2017 ---
    И еще на почту упало письмо:
    Доброго времени суток. Ваши адреса я нашел в почте человека, зашифровавшего ваши данные. Как я понял из переписок, даже оплатив данному персонажу деньги, способ расшифровать данные получили не все.Мне удалось найти в его почте программу дешифратор, и код от нее. С помощью нее, у меня получилось расшифровать документы, базы 1с, фото. Способ:
    1) К письму приложен файл.qqq переименовать в files.zip . Это архив. пароль к архиву 123321
    2) В архиве 2 файла дешифратор.exe и код.txt
    3)Запустить дешифратор
    4) Вставить код из файла
    5) Дождаться сообщения, что данные расшифрованны.
    6) Я не несу никакой ответственности за произведенные действия, но мне данная программа расшифровала все.

    По всем вопросам, можете писать на данный почтовый адресс, помогу, чем смогу!
    Если вам захочется отблагодарить меня за помощь, напишите мне письмо и я пришлю реквизиты для благодарностей.

    Ps: Как я попал в его почту ?) Да он просто дурак. =)
    PPS: Данные о преступнике, программа шифратор, дешифратор и код, переданы в соотвествующие органы Нижегородской области.
    --- Объединённое сообщение, 7 май 2017 ---
    И в прикрепленном файлике такая же вирусня.
     
  15. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.597
    Симпатии:
    3.136
    Пришлите мне образцы зашифрованных файлов (только их). У меня есть своя программа дешифратор, своя программа для подбора ключа. Ключ тоже давно подобран.
    После проверки на корректность расшифровки все получите.
     
  16. mku020
    Оффлайн

    mku020 Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Пример файла, только пришлось его упаковать в архив, иначе не позволяет прикрепить:
     

    Вложения:

  17. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.597
    Симпатии:
    3.136
    Проверьте ЛС
     
  18. mku020
    Оффлайн

    mku020 Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Все получилось. Огромное спасибо!!!
     
  19. Sandor
    Оффлайн

    Sandor Ассоциация VN/VIP

    Лучший автор месяца

    Сообщения:
    3.385
    Симпатии:
    1.189
    В завершение:
    • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
    • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.
     

Поделиться этой страницей