Шифровальщик bomber

[Снорчелло 0]

12 часов назад было заражение. Компьютер работал, но использовался последний раз за 8 часов до шифрования. Когда с утра подошли к компьютеру - было то же самое, что и у остальных. Шифрует все txt, файлы мс-офиса, картинки и pdf. Dll и exe не трогает.

Текст документа:

ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!

Ваш личный идентификатор
6A02000000000000281535AB1592090E80400803BF042DCBF1FF8F396A62E2167B61DC45E8F2F5168F9848ADEBD578CAEF55
E694F695CFCD3D4C4DE663B086F97A4FD92FB65E70F9D69ED82D2975DDEA27799FCE9955EB07AE52216B3E9FEB84E1A67EEE
ABC146CED49E26E2100778A59C745ACE83A59DDD7570C9F6AE731F2194BE519F376FEF32BA3BDE80543FE3763D9C44A504E6
4BE374A08F7738AAC9395E73E2C5EB97111BF302B50A4BF560F53BA311AADDB88DCDB852C70AF4515DF3569870D3CD1E796C
144FBB34A0A1309B703D7D2F2AFEA8890C052A79EA2699A880901530AB16501D0E06F6D86B5C57FD394F2C667B6FA63923EF
0A90560109827DEAA5EFA099F99B68F6C1209D5DAE23F14A9A60E7CCFE41594AEF6B3D75B318691C67BA3069FA923C9D98E0
A7E8379CF66627F478CB8732AE51243C1186CAE22F733F

Ваши документы, фотографии, базы данных и другие важные данные были зашифрованы.
Для восстановления данных необходим дешифровщик.
Чтобы получить дешифровщик, следует отправить письмо на электронный адрес soft2018@tutanota.com (soft2018@mail.ee, newsoft2018@yandex.by)
В письме укажите Ваш личный идентификатор (см. в начале данного документа).

Если связаться через почту не получается
* Зарегистрируйтесь на сайте http://bitmsg.me(сервис онлайн отправки Bitmessage)
* Напишите письмо на адрес BM-2cWp6BhKATEHEyfi1CGG4k3RuquXjaGJXB с указанием Вашей почты и
личного идентификатора

Далее необходимо оплатить стоимость дешифровщика. В ответном письме Вы получите адрес
Bitcoin-кошелька, на который необходимо выполнить перевод денежных средств и сумму платежа.

Если у Вас нет биткойнов
* Создайте кошелек Bitcoin: https://blockchain.info/ru/wallet/new
* Приобретите криптовалюту Bitcoin:
https://localbitcoins.com/ru/buy_bitcoins(Visa/MasterCard, QIWI Visa Wallet и др.)
* Отправьте требуемое количество BTC на указанный в письме адрес

Когда денежный перевод будет подтвержден, Вы получите дешифровщик файлов для Вашего компьютера.
После запуска программы-дешифровщика все Ваши файлы будут восстановлены.

Гарантия расшифровки файлов.
Перед оплатой вы можете отправить нам до 3х файлов для бесплатной расшифровки.
Они не должны содержать важную информацию, общий размер файлов должен быть не более 10 мб.

Внимание!
* Не пытайтесь удалить программу или запускать антивирусные средства
* Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
* Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
уникальный ключ шифрования

 

Впрочем, как и у остальных. Прикрепляю лог, а также скрин скана кьюрейтом.

CollectionLog-2018.06.19-17.27.zip

FRST.zip

Изменено 19 июня, 2018 пользователем Снорчелло

[Sandor 1 253]

Здравствуйте!

 

Файл

d:\archimed\distr\medserverx.exe

Вам известен?

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Ал\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT', '');
 QuarantineFile('C:\Windows\System32\fvtpt.exe', '');
 DeleteFile('C:\Users\Ал\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'OYTfqa');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Прикрепите к следующему сообщению свежий CollectionLog.

[Снорчелло 0]

Здравствуйте!

 

Файл

d:\archimed\distr\medserverx.exe

Вам известен?

 

Здравствуйте! Да, это лицензионная рабочая программа, стоит уже давно. quarantine.zip отправил, жду ответа.

Логи выполнял по правилам, сразу после проверки кьюрейтом. В системе ничего не менял, повторить процедуру?

[Sandor 1 253]

повторить процедуру?

Да.

[Снорчелло 0]

Вот.

[KLAN-8252628601]

 

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
fvtpt.exe
bcqr00003.dat
bcqr00004.dat

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com https://www.securelist.com"

CollectionLog-2018.06.19-18.03.zip

[Sandor 1 253]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Снорчелло 0]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Посмотрел другие ветки, там рекомендовали то же самое, поэтому отчет прикрепил ещё к первому сообщению (FRST.zip).

FRST.zip

[Sandor 1 253]

После первого Вашего сообщения в системе произошли изменения, поэтому соберите свежие логи.

[Снорчелло 0]

Сделал, загрузил.

 

Также собрал архив, в котором два файла:

1) Архив-бэкап, созданный мной в апреле и залитый в облако.

2) Он же, только зашифрованный.

Этот архив большой, поэтому заливаю в облако мэйл.ру.

[ссылка]

frst2.zip

Изменено 19 июня, 2018 пользователем Sandor
Убрал ссылку

[Sandor 1 253]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  ShortcutTarget: HQ-Realtek АС 3.9.4.738.lnk -> C:\Users\Ал\AppData\Local\Temp\UeIqC\TeamViewer.exe (No File)
  GroupPolicy: Restriction ? <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  HKU\S-1-5-21-327828941-922683940-2267499845-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=813023
  SearchScopes: HKU\S-1-5-21-327828941-922683940-2267499845-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BD6F3F75E-3F0E-4130-80E1-ACBF92A5EB66%7D&gp=813024
  SearchScopes: HKU\S-1-5-21-327828941-922683940-2267499845-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BD6F3F75E-3F0E-4130-80E1-ACBF92A5EB66%7D&gp=813024
  BHO: Search@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Ал\AppData\Local\Mail.Ru\Sputnik\ie_addon_dll.dll [2017-08-08] (Mail.Ru)
  CHR HomePage: Default -> inline.go.mail.ru
  CHR DefaultSearchURL: Default -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn12.0.23
  CHR DefaultSearchKeyword: Default -> inline.go.mail.ru
  CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
  2018-06-19 05:53 - 2018-06-19 05:54 - 000002446 _____ C:\Users\Ал\Downloads\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
  2018-06-19 05:53 - 2018-06-19 05:53 - 000002446 _____ C:\Users\Ал\Documents\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
  2018-06-19 05:50 - 2018-06-19 06:06 - 000002446 _____ C:\Users\Ал\Desktop\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
  2018-06-19 05:50 - 2018-06-19 05:50 - 000002446 _____ C:\Users\odmen\Downloads\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
  2018-06-19 05:49 - 2018-06-19 05:49 - 000002446 _____ C:\Users\odmen\Desktop\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
  2018-06-19 05:49 - 2018-06-19 05:49 - 000002446 _____ C:\Users\MSSQL$SQL2012\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
  2018-06-19 05:49 - 2018-06-19 05:49 - 000002446 _____ C:\Users\MSSQL$SQL2012\Desktop\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
  Task: {14239A80-6A59-4818-816E-147A59AEC1CA} - System32\Tasks\Microsoft\Windows\Device Setup\Service Check => C:\Windows\System32\fvtpt.exe [2018-02-24] ()
  C:\Windows\System32\fvtpt.exe
  FirewallRules: [{86AE7F08-7A4F-4D52-B219-E7480F9AA0C0}] => (Allow) C:\Users\Ал\AppData\Local\Amigo\Application\amigo.exe
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[Снорчелло 0]

Вот. Также в сообщении выше прикрепил зашифрованный и незашифрованный файлы.

Fixlog.txt

Изменено 19 июня, 2018 пользователем Снорчелло

[Sandor 1 253]

К сожалению, с этим вымогателем такая пара не поможет.

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Снорчелло 0]

Вот.SecurityCheck.txt

Жаль, что никак. Хотя если просто поменять расширение файла (к примеру, изначально pdf файла на pdf), то он отобразится ПОЧТИ правильно.

dsu6Y=YFEnrfKdtM+OvP65knIjdtR3PVuYuXQLB7CVLWll8vsQ9T8mev4Jyvabrl0acGM+pb.pdf

jpBpJwy9ZomuKEkFlBr08ZThJp4KvgCO23eEZ=YQRhkQ8yOd60uwAJ9dljTv9Q4beLVhxiZs.pdf

Изменено 19 июня, 2018 пользователем Снорчелло

[Sandor 1 253]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен (Уровень 1)

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

--------------------------- [ OtherUtilities ] ----------------------------

TeamViewer 12 v.12.0.95388 Внимание! Скачать обновления

WinRAR 4.20 бета 2 (32-разрядная) v.4.20.2 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.3.44358 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

---------------------------- [ UnwantedApps ] -----------------------------

Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Рекомендации после удаления вредоносного ПО

Изменено 19 июня, 2018 пользователем Sandor

[Снорчелло 0]

Так. Обновить всё? Юнити удалил, он неизвестно когда вообще был установлен. Торрент стоит, но автозапуск отключён.