Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 18.03.2016, 13:58   #1 (ссылка)
Новичок
 
Регистрация: 18.03.2016
Сообщений: 5
Репутация: 5
По умолчанию Файлы зашифровались в *.better_call_saul

Почти все файлы конвертировались в *.better_call_saul
Образ автозапуска UVS

Последний раз редактировалось Ghoster; 18.03.2016 в 14:13. Причина: удалена сылка
Ghoster вне форума  
Старый 18.03.2016, 14:18   #2 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код:
;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
unload %Sys32%\NOTEPAD.EXE
zoo %SystemDrive%\USERS\7\DESKTOP\ДОКУМЕНТЫ ДЛЯ ПРОВЕДЕНИЯ ПЛАТЕЖЕЙ И СВЕРОК --НОВЫЕ ДАННЫЕ!!!.WSF
delall %SystemDrive%\USERS\7\DESKTOP\ДОКУМЕНТЫ ДЛЯ ПРОВЕДЕНИЯ ПЛАТЕЖЕЙ И СВЕРОК --НОВЫЕ ДАННЫЕ!!!.WSF
deltmp
delnfr
restart
перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes
safety вне форума  
Старый 18.03.2016, 14:38   #3 (ссылка)
Новичок
 
Регистрация: 18.03.2016
Сообщений: 5
Репутация: 5
По умолчанию Выполнил

Лог-файл
Ghoster вне форума  
Старый 18.03.2016, 14:43   #4 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

по расшифровке не поможем. нет расшифровки,
судя по образу система уже очищена от шифратора,
непонятно только почему скрипт WSF открыт блокнотом? вы открыли его через блокнот, или запустили блокнотом?
--------
при запуске WSF в TEMP скачался такой файлик FYYNSHYDKAMBWWQIKP.PIF и запустился.
он же создал копию и прописал в реестр
для XP
Полное имя C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-2052111302-1383384898-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run \Client Server Runtime Subsystem
Client Server Runtime Subsystem"C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe"

Доп. информация на момент обновления списка
SHA1 8A33F1BFCB8E3066B86ABDADB0C4BE3060CCC812
MD5 C205C5C82DECDC6426898CDFCF10EC32

первый файл выполняет шифрование, копию создал и прописал в реестр на случай перезагрузки системы.
----------------
проверяйте теневые копии, если сохранились, или пробуйте искать среди удаленных файлов ваши документы
с помощью R-studio, testdisk, GetDATABack и прочее.
safety вне форума  
Старый 18.03.2016, 14:54   #5 (ссылка)
Новичок
 
Регистрация: 18.03.2016
Сообщений: 5
Репутация: 5
По умолчанию Выполнил

Лог-файл
Ghoster вне форума  
Старый 18.03.2016, 14:57   #6 (ссылка)
Новичок
 
Регистрация: 18.03.2016
Сообщений: 5
Репутация: 5
По умолчанию

После заражения открывал с помощью блокнота
Ghoster вне форума  
Старый 18.03.2016, 15:02   #7 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

система чистая, с расшифровкой не поможем. обратитесь в ЛК, там были случаи расшифровки по xtbl, возможно и ваш случай окажется удачным, если его можно так назвать.
safety вне форума  
Старый 18.03.2016, 15:04   #8 (ссылка)
Новичок
 
Регистрация: 18.03.2016
Сообщений: 5
Репутация: 5
По умолчанию

Спасибо! Что такое ЛК?
Ghoster вне форума  
Ads
Старый 18.03.2016, 15:10   #9 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

лаборатория Касперского.
https://forum.kaspersky.com/index.php?showforum=186
safety вне форума  
Ads
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Документы зашифровались Hapuk Безопасность 1 24.11.2015 14:17
зашифровались файлы Елена0707 Безопасность 5 31.07.2015 17:23
README Зашифровались все важные для меня файлы nikon007 Безопасность 19 19.03.2015 00:07
Зашифровались в xblt thisis_vitalya Безопасность 1 13.03.2015 20:14
Файлы зашифровались в *.xtbl Gizmoss Безопасность 20 12.03.2015 10:23


Текущее время: 19:53. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.