Перейти к содержимому


Фотография
- - - - -

Шифровальщик trojan.encoder.27210

trojan.encoder.27210

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 14

#1 OFF   KameradS

KameradS

    Новичок

  • Новички
  • Cообщений: 10

Отправлено 27 Февраль 2019 - 08:54

Доброго дня!
Компьютер заразился шифровальщиком trojan.encoder.27210.
Причина и источник заражения не известен, подозреваем выполнение постороннего приложения пользователем
с постороннего носителя или из сети.

Троян зашифровал все файлы doc, docx, xls, xlsx, прочие файлы MS Office, все графические форматы, такие как JPG, TIFF, PNG
и прочие, расположенные на пораженной машине. Заражение исполняемых exe-файлов не произошло.

Полностью произвели действия, как было указано в теме "Порядок оформления запроса о помощи",

прикладываю лог и несколько файлов, зашифрованных вирусом.

Благодарю заранее за помощь!
 

Прикрепленные файлы


Сообщение отредактировал KameradS: 27 Февраль 2019 - 09:03

  • 0

#2 OFF   KameradS

KameradS

    Новичок

  • Новички
  • Cообщений: 10

Отправлено 27 Февраль 2019 - 11:24

От себя могу добавить, что в нашей организации установлено 190 лицензий продукта Kaspersky endpoint security,

и на пораженной машине так же установлен этот продукт, который всегда своевременно обновляется.


  • 0

#3 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 27 Февраль 2019 - 11:26

Здравствуйте!

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.
Компьютер перезагрузится.

Если есть текстовый (или htm) файл с требованием выкупа, упакуйте его в архив и прикрепите к следующему сообщению.
  • 0
  • Спасибо x 1
  • Показать
Изображение

#4 OFF   KameradS

KameradS

    Новичок

  • Новички
  • Cообщений: 10

Отправлено 27 Февраль 2019 - 13:31

Скрипт выполнен, машина, как Вы и писали, тут же перезагрузилась.

После этого визуальных изменений не обнаружили.

Текстовый файл с требованием выкупа, который появился в любой папке, содержащий любой из зашифрованных

документов, упакован в ZIP и прикреплен к этому сообщению, как Вы и просили.

Благодарим заранее за помощь!

Прикрепленные файлы


  • 0

#5 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 27 Февраль 2019 - 13:52

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

+
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
  • Спасибо x 1
  • Показать
Изображение

#6 OFF   KameradS

KameradS

    Новичок

  • Новички
  • Cообщений: 10

Отправлено 27 Февраль 2019 - 14:37

Процедуру провел буквально по пунктам, как Вы и говорили.

Получил ссылку: https://virusinfo.in...2F3BA092B1E5797

MD5 карантина: 77C8F71130F8492192F3BA092B1E5797

 

Скачал утилиту Farbar***, запустил именно ту, которая соответствует разрядности пораженной системе,

просканировал систему, получил файлы, которые Вы просили прикрепить к своему следующему сообщению.

Что я и делаю.

Благодарю за инструкции, надеюсь, мои действия верные и помогут исправить ситуацию.

Прикрепленные файлы

  • Прикрепленный файл  FRST.txt   26,87К   скачиваний 1
  • Прикрепленный файл  Addition.txt   30,06К   скачиваний 1

  • 0

#7 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 27 Февраль 2019 - 14:46

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    GroupPolicyScripts: Restriction <==== ATTENTION
    CHR HKU\S-1-5-21-3292416752-4129641791-2326513281-2219\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-3292416752-4129641791-2326513281-2219\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bobeehhgpnppdghmfffdjadmbjbaeeod] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-3292416752-4129641791-2326513281-2219\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-3292416752-4129641791-2326513281-2219\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-3292416752-4129641791-2326513281-2219\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-3292416752-4129641791-2326513281-2219\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-3292416752-4129641791-2326513281-2219\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
    2018-02-08 15:08 - 2017-08-11 18:20 - 001314008 _____ (Mail.Ru) C:\Users\sirotina_gi\AppData\Local\Temp\ae6b-280c-5344-afac.exe
    2016-06-10 16:03 - 2016-06-10 16:04 - 048920808 _____ (Mail.Ru) C:\Users\sirotina_gi\AppData\Local\Temp\AmigoDistrib.exe
    2016-08-04 09:02 - 2018-01-15 10:35 - 055341560 _____ (Mail.Ru) C:\Users\sirotina_gi\AppData\Local\Temp\amigo_setup.exe
    2018-02-08 15:08 - 2017-08-11 18:20 - 001314008 _____ (Mail.Ru) C:\Users\sirotina_gi\AppData\Local\Temp\c386-c00d-819b-a4d3.exe
    2017-08-21 08:33 - 2017-08-11 18:20 - 001314008 _____ (Mail.Ru) C:\Users\sirotina_gi\AppData\Local\Temp\f66d-8cd9-318f-d1a8.exe
    2016-06-10 16:03 - 2016-06-01 16:14 - 005873880 _____ (Mail.Ru) C:\Users\sirotina_gi\AppData\Local\Temp\MailRuUpdater.exe
    2016-09-05 09:02 - 2017-04-14 19:21 - 004127960 _____ (Mail.Ru) C:\Users\sirotina_gi\AppData\Local\Temp\mrutmp.exe
    Task: {B6B9F787-427D-4C61-8D1D-F354BBDCBC5F} - System32\Tasks\MailRuUpdater => C:\Users\sirotina_gi\AppData\Local\Mail.Ru\MailRuUpdater.exe (LLC Mail.Ru -> Mail.Ru) <==== ATTENTION
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
  • 0
  • Спасибо x 1
  • Показать
Изображение

#8 OFF   KameradS

KameradS

    Новичок

  • Новички
  • Cообщений: 10

Отправлено 27 Февраль 2019 - 15:15

Отключили антивирус, выделили и скопировали код, представленный Вами (проверили даже содержимое буфера обмена).

Запустили FRST от администратора, нажали FIX один раз, получили лог, который прикрепляю к этому сообщению.

Компьютер перезагрузился автоматически, как Вы и говорили.

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   5,08К   скачиваний 1

  • 0

#9 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 27 Февраль 2019 - 15:30

Создайте запрос на расшифровку через Company Account.
  • 0
  • Спасибо x 1
  • Показать
Изображение

#10 OFF   KameradS

KameradS

    Новичок

  • Новички
  • Cообщений: 10

Отправлено 27 Февраль 2019 - 16:14

Создал, благодарю!

 

https://companyaccou...C725C51C3ADA0CA


  • 0

#11 OFF   KameradS

KameradS

    Новичок

  • Новички
  • Cообщений: 10

Отправлено 28 Февраль 2019 - 09:55

Скажите, пожалуйста, а в течении какого времени примерно отвечают сотрудники портала,

где расположен мой официальный запрос в Kaspersky Company Account?

Обращаюсь впервые, создал аккаунт, зарегистрировал корпоративный ключ.

Благодарю!


  • 0

#12 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 28 Февраль 2019 - 10:03

Как правило, довольно быстро отвечают. В течение нескольких часов.
  • 0
  • Сомневаюсь x 1
  • Показать
Изображение

#13 OFF   KameradS

KameradS

    Новичок

  • Новички
  • Cообщений: 10

Отправлено 28 Февраль 2019 - 13:17

Как правило, довольно быстро отвечают. В течение нескольких часов.

Тогда странно, почти сутки прошли уже...


  • 0

#14 OFF   KameradS

KameradS

    Новичок

  • Новички
  • Cообщений: 10

Отправлено 01 Март 2019 - 08:41

Вчера вечером уже после окончания рабочего дня ответили.

Провожу манипуляции, указанные специалистом лаборатории, и продолжаю надеяться на положительный результат.

О нем обязательно сообщу!


Сообщение отредактировал KameradS: 01 Март 2019 - 08:49

  • 0
  • Спасибо x 1
  • Показать

#15 OFF   KameradS

KameradS

    Новичок

  • Новички
  • Cообщений: 10

Отправлено 05 Март 2019 - 13:19

Получен ответ. Если в одном слове - увы!

Анализ предоставленных файлов показал, что они были зашифрованы троянской программой Trojan-Ransom.Win32.Crypmod. К сожалению, расшифровка файлов, на текущий момент, не возможна. Шифровальщик использует криптостойкие асимметричные алгоритмы. Публичные ключи (для шифрования) вшиты в сам шифровальщик, приватные ключи (для расшифровки) доступны только злоумышленникам.

Наши специалисты используют все имеющиеся возможности для того чтобы восстановить алгоритм шифрования и иметь возможность создавать ключи дешифровки (декрипторы), однако данный процесс довольно трудоемкий и может занять длительное время.

Сергей, мне очень жаль, что на данный момент, мы не можем предоставить Вам утилиту для расшифровки. Если информация в файлах со временем не утеряет своей актуальности, просьба сохранить их в удобном для Вас месте (облако, жесткий диск и т.д.) Я сохранил информацию по Вашему запросу и при успешном создании декриптора мы Вас обязательно уведомим.

В любом случае благодарю всех за помощь и сочувствие!

Тему можно закрыть.


Сообщение отредактировал KameradS: 05 Март 2019 - 13:20

  • 0
  • Спасибо x 1
  • Показать




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных