Размещено 11.06.2015 09:30:28
Здравствуйте! Подловили шифровальщик "Текстовый документ[email protected]". Во вложении пара файлов.
зашифровано с расширением *id-*[email protected]* , возможно, Filecoder.DG
Размещено 11.06.2015 09:36:31
скорее всего вариант encoder.741
1. добавьте образ автозапуска
2. если сохранилось тело шифратора, или ссылка из адрес скачивания, вышлите в почту [email protected]
в архиве, с паролем infected
1. добавьте образ автозапуска
2. если сохранилось тело шифратора, или ссылка из адрес скачивания, вышлите в почту [email protected]
в архиве, с паролем infected
Размещено 11.06.2015 10:00:06
1. судя по системе (XP) восстановление документов из теневой копии невозможно.
2. по очистке системы выполните:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка, пишем о старых и новых проблемах.
+
добавьте лог выполнения скрипта uVS
это файл: дата_времяlog.txt из папки uVS
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
2. по очистке системы выполните:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v3.85.23 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\APPLICATION DATA\174.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\APPLICATION DATA\TASKHOST.EXE hide %SystemDrive%\PROGRAM FILES\VENTA\VENTAFAX & VOICE\VFMANAGER.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\19887033\19887033.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://BROWSERHELP2.RU delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU regt 27 deltmp delnfr ;------------------------------------------------------------- restart |
перезагрузка, пишем о старых и новых проблемах.
+
добавьте лог выполнения скрипта uVS
это файл: дата_времяlog.txt из папки uVS
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
Изменено: santy - 12.06.2016 12:00:54
Размещено 11.06.2015 10:19:49
| Цитата |
|---|
| по логу скрипта -------------------------------------------------------- regt 27 -------------------------------------------------------- Удаление всех политик Google Chrome... RegOpenKeyRead (machine): [Не удается найти указанный файл. ] RegOpenKeyRead (user): [Не удается найти указанный файл. ] Операция завершена. |
по расшифровке документов.
если есть лицензия на наш антивирус, напишите в техподдержку [email protected]
если это из семейства encoder.741, то то возможно случай для расшифровки не безнадежный.
Размещено 11.06.2015 10:23:49
Ключ есть. Еще если интересно во вложении текст письма.
Еще вопрос: что написать в письме в техподдержку кроме ключа?
Еще вопрос: что написать в письме в техподдержку кроме ключа?
Размещено 11.06.2015 10:35:12
в [email protected]:
добавить в архиве с паролем infected вирусное тело,
можно добавить текст письма,
+
добавьте несколько зашифрованных файлов разных типов:
к примеру doc, xls, jpg
+
можно указать ссылку на эту тему форума.
добавить в архиве с паролем infected вирусное тело,
можно добавить текст письма,
+
добавьте несколько зашифрованных файлов разных типов:
к примеру doc, xls, jpg
+
можно указать ссылку на эту тему форума.
Читают тему (гостей: 1)