18.03.2016, 13:58 | #1 (ссылка) |
Новичок
Регистрация: 18.03.2016
Сообщений: 5
Репутация: 5
|
Файлы зашифровались в *.better_call_saul
Почти все файлы конвертировались в *.better_call_saul
Образ автозапуска UVS Последний раз редактировалось Ghoster; 18.03.2016 в 14:13. Причина: удалена сылка |
18.03.2016, 14:18 | #2 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE unload %Sys32%\NOTEPAD.EXE zoo %SystemDrive%\USERS\7\DESKTOP\ДОКУМЕНТЫ ДЛЯ ПРОВЕДЕНИЯ ПЛАТЕЖЕЙ И СВЕРОК --НОВЫЕ ДАННЫЕ!!!.WSF delall %SystemDrive%\USERS\7\DESKTOP\ДОКУМЕНТЫ ДЛЯ ПРОВЕДЕНИЯ ПЛАТЕЖЕЙ И СВЕРОК --НОВЫЕ ДАННЫЕ!!!.WSF deltmp delnfr restart ---------- далее, выполните сканирование (угроз) в Malwarebytes |
18.03.2016, 14:43 | #4 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
по расшифровке не поможем. нет расшифровки,
судя по образу система уже очищена от шифратора, непонятно только почему скрипт WSF открыт блокнотом? вы открыли его через блокнот, или запустили блокнотом? -------- при запуске WSF в TEMP скачался такой файлик FYYNSHYDKAMBWWQIKP.PIF и запустился. он же создал копию и прописал в реестр для XP Полное имя C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE Ссылки на объект Ссылка HKEY_USERS\S-1-5-21-2052111302-1383384898-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run \Client Server Runtime Subsystem Client Server Runtime Subsystem"C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe" Доп. информация на момент обновления списка SHA1 8A33F1BFCB8E3066B86ABDADB0C4BE3060CCC812 MD5 C205C5C82DECDC6426898CDFCF10EC32 первый файл выполняет шифрование, копию создал и прописал в реестр на случай перезагрузки системы. ---------------- проверяйте теневые копии, если сохранились, или пробуйте искать среди удаленных файлов ваши документы с помощью R-studio, testdisk, GetDATABack и прочее. |
18.03.2016, 15:10 | #9 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
лаборатория Касперского.
https://forum.kaspersky.com/index.php?showforum=186 |
Ads | |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
Опции темы | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Документы зашифровались | Hapuk | Безопасность | 1 | 24.11.2015 14:17 |
зашифровались файлы | Елена0707 | Безопасность | 5 | 31.07.2015 17:23 |
README Зашифровались все важные для меня файлы | nikon007 | Безопасность | 19 | 19.03.2015 00:07 |
Зашифровались в xblt | thisis_vitalya | Безопасность | 1 | 13.03.2015 20:14 |
Файлы зашифровались в *.xtbl | Gizmoss | Безопасность | 20 | 12.03.2015 10:23 |