0 / 0 / 0
Регистрация: 14.10.2014
Сообщений: 14
1

Вирус "Эбола" переименовал и зашифровал все файлы

14.10.2014, 07:25. Показов 5623. Ответов 9
Метки нет (Все метки)

Добрый день!

На днях, пользователь открыл файл, присланный по почте, как-то запустил его,
хотя стоит Kaspersky 6.0, антивирус ругался на вирус "ebola", но как-то все-же
пустил вирус в ПК. Пару дней с ПК все было нормально, но вчера, при включении
ПК, автозапуском открылась картинка с сообщением о заражении и предложении
написать на почту для лечения. Все документы .doc, .xls, .dwg и подобные
переименованы и зашифрованы.

Помогите пожалуйста с расшифровкой файлов..

CollectionLog-2014.10.14-09.19.zip
__________________
Помощь в написании контрольных, курсовых и дипломных работ здесь
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
14.10.2014, 07:25
Ответы с готовыми решениями:

Вирус "Эбола" зашифровал и переименовал файлы
Вирус Эбола зашифровал файлы. К зашифрованным файлам добавлено расширение...

Вирус "Эбола" зашифровал и переименовал файлы
Не могу открыть файлы, так как они были зашифрованы и переименованы. Проверил систему...

Вирус Эбола переименовал и зашифровал все файлы
28 августа пришло письмо: Тема: Федеральная налоговая инспекция От кого: "Уведомление"...

Вирус Эбола переименовал и зашифровал файлы
Вирус Эбола зашифровал файлы. К зашифрованным файлам добавлено расширение...

9
Вирусоборец
8614 / 4184 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
14.10.2014, 12:49 2
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.
(!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".)

1. Выполните скрипт в AVZ
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\documents and settings\user-71\Главное меню\Программы\Автозагрузка\Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №43949.exe', '');
 QuarantineFile('C:\Documents and Settings\User-71\Главное меню\Программы\Автозагрузка\ebola.bmp', '');
 QuarantineFile('C:\Program Files\Mobogenie\Mobogenie.exe','');
 DeleteFile('C:\Program Files\Mobogenie\Mobogenie.exe','32');
 DeleteFile('c:\documents and settings\user-71\Главное меню\Программы\Автозагрузка\Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №43949.exe', '32');
 DeleteFile('C:\Documents and Settings\User-71\Главное меню\Программы\Автозагрузка\ebola.bmp', '32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

2. После перезагрузки, выполните такой скрипт:
Код
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
3. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

4. Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

5. Для расшифровки попробуйте утилиту.
0
0 / 0 / 0
Регистрация: 14.10.2014
Сообщений: 14
15.10.2014, 06:36  [ТС] 3
Файлы quarantine.zip отправил по форме.

Утилита расшифровки не помогла, говорит: "Невозможно подобрать ключ шифрования"

CollectionLog-2014.10.14-15.42.zip
0
Вирусоборец
8614 / 4184 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
15.10.2014, 08:16 4
Деинсталируйте эту утилиту:
Mobogenie-->C:\Program Files\Mobogenie\uninst.exe
Если не удалиться, тогда попробуйте удалить скриптом
Запустить AVZ от имени администратора, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteFile('c:\program files\mobogenie\daemonprocess.exe','32');
 DeleteFile('c:\program files\mobogenie\mgassist.exe','32');
 DeleteFile('C:\Program Files\Mobogenie\DCR.dll','32');
 DeleteFile('C:\Program Files\Mobogenie\Device.dll','32');
 DeleteFile('C:\Program Files\Mobogenie\DaemonProcess.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
 DeleteService('MgAssistService');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
+
Подготовьте лог AdwCleaner.

Цитата Сообщение от Andrey_Ak Посмотреть сообщение
Утилита расшифровки не помогла, говорит: "Невозможно подобрать ключ шифрования"
Подождите ответа нашего специалиста по шифровальщикам.
0
0 / 0 / 0
Регистрация: 14.10.2014
Сообщений: 14
15.10.2014, 09:05  [ТС] 5
Через C:\Program Files\Mobogenie\uninst.exe утилита удалилась.

Лог AdwCleaner во вложении..

AdwCleaner[R0].txt
0
Вирусоборец
8614 / 4184 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
15.10.2014, 09:07 6
Удалите в AdwCleaner все найденные объекты.
+
Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам.

Рекомендации после удаления вредоносного ПО
0
0 / 0 / 0
Регистрация: 14.10.2014
Сообщений: 14
15.10.2014, 09:25  [ТС] 7
В AdwCleaner все найденное удалил.

Лог от SecurityCheck by glax24. ниже:

Security Check by glax24 version 0.2.5.61 rc2
WebSite: www.safezone.cc
DateLog: 15.10.2014 11:20:40
Run directory: C:\Documents and Settings\User-71\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
FileVersionLocal: 8.1
__________________________________________________

Windows XP(5.1.2600) Service Pack 3 (x86) Lang: Russian(0419)
Дата установки ОС: 12.04.2012 09:19:30
Системный диск: C:\ ФС: NTFS Емкость: [37.3 Гб] Занято: [12.5 Гб] Свободно: [24.8 Гб]
Браузер по умолчанию: C:\Program Files\Google\Chrome\Application\chrome.exe
-------------Windows------------------------------
Internet Explorer 7.0.5730.13 Внимание! Скачать обновления
Автоматическое обновление отключено
Автоматическое обновление (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Восстановление системы отключено
-------------Antivirus_WMI------------------------
Антивирус Касперского
Антивирус устарел
-------------Firewall_WMI-------------------------
Антивирус Касперского
-------------AntiVirusFirewallInstall-------------
McAfee Security Scan Plus v.3.8.150.1
Антивирус Касперского 6.0 для Windows Workstations v.6.0.4.1424
-------------Java---------------------------------
Java 7 Update 45 v.7.0.450 Внимание! Скачать обновления
^Скачайте jre-7u67-windows-i586.exe^
Java Auto Updater v.2.1.9.8
-------------AdobeProduction----------------------
Adobe Flash Player 15 ActiveX v.15.0.0.167 [+]
Adobe Flash Player 15 Plugin v.15.0.0.152 [+]
Adobe Reader X (10.1.0) - Russian v.10.1.0 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.37.0.2062.124 [+]
Mozilla Firefox (3.5.2) v.3.5.2 (ru) Внимание! Скачать обновления
-------------EmailClient--------------------------
Mozilla Thunderbird (2.0.0.19) v.2.0.0.19 (ru) Внимание! Скачать обновления
-------------EndLog-------------------------------



Обновления скачать можно, но восстановление системы в нормальное состояние не требуется,
все равно будет переустановка ОС и ПО.
Нужно восстановить пользовательские документы которые зашифрованы..
0
Вирусоборец
8614 / 4184 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
15.10.2014, 10:30 8
Цитата Сообщение от Andrey_Ak Посмотреть сообщение
все равно будет переустановка ОС и ПО.
В таком случае, тему нужно было создать в открытом разделе, а не в разделе лечения!!!
Мы тратим на вас свое свободное время, которое могли бы потратить на другого пользователя.

Ждите ответа специалиста по дешифровке.
0
0 / 0 / 0
Регистрация: 14.10.2014
Сообщений: 14
15.10.2014, 10:33  [ТС] 9
Простите, не знал что в другом разделе нужно было.
Но в первом посте сразу указал, что требуется расшифровать файлы.

Спасибо, буду ждать ответа от специалиста по расшифровке..
0
Вирусоборец
7761 / 5193 / 886
Регистрация: 06.09.2009
Сообщений: 20,589
15.10.2014, 15:52 10
Если утилита не помогла, увы
1
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
15.10.2014, 15:52

Вирус зашифровал и переименовал все файлы в расширение XHAGAY
пришло письмо: &quot; От кого: Зайцев Андрей &lt;a.zauka@mail.ru&gt; Кому: Дата: Понедельник, 16 февраля...

вирус "Эбола" зашифровала все файлы
Система Windows была заблокировна вирусом &quot;Эбола&quot;. Было предложено перечислить 4 000 руб. на...

Вирус зашифровал все файлы ("все ваши файлы зашифрованы")
Здравствуйте, поймал вирус, который зашифровал все файлы. В каждой папке текстовый файл, начало...

Вирус зашифровал и переименовал файлы в расширение .jfwcqnj
Вирус зашифровал и переименовал файлы в расширение .jfwcqnj. Лог сделать не могу по причине, что...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
10
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.