phobos Шифратор .[jabber paybtc@sj.ms].Caley

[Степаний Тушков]

Здравствуйте, подхватили шифратор, скорее всего через RDP, резервные копии есть не все, все же хотелось надеяться на расшифровку.

CollectionLog-2020.02.03-13.35.zip

Изменено 3 февраля, 2020 пользователем Sandor
Убрал архив с вредоносным файлом

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', '');
 QuarantineFile('C:\Users\Диспетчер\AppData\Local\AntiRecuvaAndDB.exe', '');
 QuarantineFile('C:\Users\Диспетчер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id[FEE43F29-2422].[jabber paybtc@sj.ms].Caley', '64');
 DeleteFile('C:\Users\Диспетчер\AppData\Local\AntiRecuvaAndDB.exe', '32');
 DeleteFile('C:\Users\Диспетчер\AppData\Local\AntiRecuvaAndDB.exe', '64');
 DeleteFile('C:\Users\Диспетчер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', '');
 DeleteFile('C:\Users\Диспетчер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'AntiRecuvaAndDB', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'AntiRecuvaAndDB', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

 

 

Прикрепите также в архиве только зашифрованный файл вместе с запиской с требованием выкупа (возможно это C:\info.txt).

[Степаний Тушков]

Написал письмо на newvirus@kaspersky.com, ответа до сих пор нет, это нормально? или оно могло затеряться, тем более что письмо без темы...

[Sandor]

Повторный лог и архив с файлами можете делать, не дожидаясь ответа.

[Степаний Тушков]

Лог после скрипта, файл требования и зараженный файл прикрепил. Кстате большие файлы шифрует не полностью, первые 4 мб только, дальше файлы целые, а в конце файла я так понял записывает зашифрованные данные из начала и еще что то...интересно возможно ли восстановить так БД, подменной первых 4мб...или еще как нибудь расковырять...жалко код вируса посмотреть не удалось..узнать бы его логику шифрования...

CollectionLog-2020.02.04-13.28.zip

info.rar

[Sandor]

Тип вымогателя похож на Phobos и если это так, то расшифровки нет.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[pioner007]

Словил данного зловреда. С активным касперычем 10ым. Причем папка была выкошена от файлов вся. Структура папок осталась. Слежу за данной темой и понимаю что решения нет?

[Sandor]

@pioner007, здравствуйте!

 

Не пишите в чужой теме, тем самым вы нарушаете правила раздела п. 2.2.

 

Создайте свою тему и выполните Порядок оформления запроса о помощи