Размещено 13.04.2020 17:53:33
[QUOTE]Константин Дубовицкий написал:
вроде все сделал.[/QUOTE]
да, судя по характерному маркеру в зашифрованном файле
00000000020000000CFE7A41000000000000000000000000200000000000 0000
а так же по шаблону имени зашифрованного файла и записке о выкупе FILES ENCRYPTED.txt
это Crysis/Dharma - новый вариант с расширением .dop
https://id-ransomware.malwarehunterteam.com/identify.php?case=f961513a5506d3922bd0bdbf2c16437a0b591f0d
образ автозапуска и FRST сейчас посмотрю.
активного шифрования в системе уже нет, файлы шифратора скорее всего уже зачищены, и лежат в карантинах антивирусов.
по очистке системы в uVS выполните:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-960F735F.[[email protected]].DOP
delall %SystemDrive%\USERS\KOSTYA.GOU\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-960F735F.[[email protected]].DOP
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3D ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBEFKDCNDNGODFEIGFDGIODGNMBGCFHA%26INSTALLSOURCE%3D ONDEMAND%26UC
delref HTTP://UTORRENT.COM/PRODNEWS?UID=UE1-71CA653C51E74B00A7E63535812D83D6&SID=&V=3%2E5%2E5%2E1%2E4562 8
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGOMEKMIDLODGLBBMALCNEEGIEACBDMKI%26INSTALLSOURCE%3D ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3D ONDEMAND%26UC
apply
QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.
------------
вроде все сделал.[/QUOTE]
да, судя по характерному маркеру в зашифрованном файле
00000000020000000CFE7A41000000000000000000000000200000000000
а так же по шаблону имени зашифрованного файла и записке о выкупе FILES ENCRYPTED.txt
это Crysis/Dharma - новый вариант с расширением .dop
https://id-ransomware.malwarehunterteam.com/identify.php?case=f961513a5506d3922bd0bdbf2c16437a0b591f0d
образ автозапуска и FRST сейчас посмотрю.
активного шифрования в системе уже нет, файлы шифратора скорее всего уже зачищены, и лежат в карантинах антивирусов.
по очистке системы в uVS выполните:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-960F735F.[[email protected]].DOP
delall %SystemDrive%\USERS\KOSTYA.GOU\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-960F735F.[[email protected]].DOP
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3D
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBEFKDCNDNGODFEIGFDGIODGNMBGCFHA%26INSTALLSOURCE%3D
delref HTTP://UTORRENT.COM/PRODNEWS?UID=UE1-71CA653C51E74B00A7E63535812D83D6&SID=&V=3%2E5%2E5%2E1%2E4562
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGOMEKMIDLODGLBBMALCNEEGIEACBDMKI%26INSTALLSOURCE%3D
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3D
apply
QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.
------------