На весь экран вышла надпись: "Все ваши файлы зашифрованы.."

lohudra · 18.11.2015, 17:30

Открыли файл 543658oplata.gz,
uvs_latest - http://rghost.ru/6D47lFGdh
avz - http://rghost.ru/6nxlpCHXs

safety · 18.11.2015, 17:43

расширение какое у зашифрованных файлов? xtbl?

safety · 18.11.2015, 17:46

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn 9AE863DA5582A28DF42BAEB164C81205158AFCF6C1FA1F78C5C3C5BC8486FF7F5363851C9F252A07D59EC7D2461649FA7DDFE97255DAB02C2D77A42F89635007 64 Win32/Filecoder.ED [ESET-NOD32]

zoo %SystemDrive%\USERS\RUSLAN_ITO\APPDATA\LOCAL\TEMP\RAR$DIA0.889\181115SCAN.SCR
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
----------

интересно, что комп называется itr. айтишники открыли?

вирусняк в открытом виде не надо добавлять на обменники, надо хотя бы пароль ставить на архив.

lohudra · 19.11.2015, 09:27

Зашифрованных файлов нет, ПК отключил сразу же после проверки.
Стоит Comodo, в нем настроил как раз на случай инфицирования, видно, защита сработала.
Думаю, скрипт попал в песочницу и там же увяз.
ITR - ИТО-шники(инженерно тех. отдел)

safety · 19.11.2015, 09:36

настройте еще дополнительно политики ограничения запуска исполняемых программ из архивов. в этом случае всякие js, scr, cmd, pif, com не смогут запуститься из архива.
это стандартный сейчас способ доведения шифратора до места. через архивное вложение в электронной почте.

18.11.2015, 17:30	#1
lohudra Новичок Регистрация: 09.07.2011 Сообщений: 154 Репутация: 0	На весь экран вышла надпись: "Все ваши файлы зашифрованы.." Открыли файл 543658oplata.gz, uvs_latest - http://rghost.ru/6D47lFGdh avz - http://rghost.ru/6nxlpCHXs Последний раз редактировалось safety; 18.11.2015 в 17:49.

18.11.2015, 17:46	#3
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код: ;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE addsgn 9AE863DA5582A28DF42BAEB164C81205158AFCF6C1FA1F78C5C3C5BC8486FF7F5363851C9F252A07D59EC7D2461649FA7DDFE97255DAB02C2D77A42F89635007 64 Win32/Filecoder.ED [ESET-NOD32] zoo %SystemDrive%\USERS\RUSLAN_ITO\APPDATA\LOCAL\TEMP\RAR$DIA0.889\181115SCAN.SCR delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- czoo restart перезагрузка, пишем о старых и новых проблемах. ---------- интересно, что комп называется itr. айтишники открыли? вирусняк в открытом виде не надо добавлять на обменники, надо хотя бы пароль ставить на архив.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Help! Ваши файлы были зашифрованы Help!	KarimKamble	Безопасность	9	12.07.2015 23:31
Вирус "все файлы зашифрованы"	foto-s	Безопасность	14	01.10.2014 16:46
Не могу просматривать видео из нета "на весь экран"	Cocain	Программы	2	03.01.2011 00:26
при включении видео " НА ВЕСЬ ЭКРАН" - белый экран	antontau	Мультимедиа	0	21.06.2010 23:35
Экран смерти и надгробная надпись "Нажмите любую кнопку"	Гордиенко	Windows XP	2	15.09.2009 18:00

18.11.2015, 17:43	#2
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	расширение какое у зашифрованных файлов? xtbl?

19.11.2015, 09:27	#4
lohudra Новичок Регистрация: 09.07.2011 Сообщений: 154 Репутация: 0	Зашифрованных файлов нет, ПК отключил сразу же после проверки. Стоит Comodo, в нем настроил как раз на случай инфицирования, видно, защита сработала. Думаю, скрипт попал в песочницу и там же увяз. ITR - ИТО-шники(инженерно тех. отдел)

19.11.2015, 09:36	#5
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	настройте еще дополнительно политики ограничения запуска исполняемых программ из архивов. в этом случае всякие js, scr, cmd, pif, com не смогут запуститься из архива. это стандартный сейчас способ доведения шифратора до места. через архивное вложение в электронной почте.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads