Вирус зашифровал файлы в AES256

[Mavki]

Приветствую! Вирус зашифровал самые распространенные файлы в AES256.

 

Содержание файлы "ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt":

 

Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.
Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.

Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты.
TOR: https://www.torproject.org/ | Видео инструкция:
url_1: http://y6kpyefykdvswxps.onion:4567/pay.html
url_2: http://gi3ruskskqzff2rw.onion:4567/pay.html
HashKey: 301b189fcebca32e541e5feb9a430ac0
ID: 19439

 

Прикладываю образцы зашифрованных файлов.

CollectionLog-2014.10.09-21.52.zip

example.zip

[mike 1]

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;   
 QuarantineFileF('%USERPROFILE%\appdata\roaming\mail.ru newgamest', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\runWIN', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\ICL', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\GemWare', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\Microsoft DB', '*', true, ' ', 0, 0);
 QuarantineFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
 DeleteFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');     
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');   
 DeleteFileMask('%USERPROFILE%\appdata\roaming\mail.ru newgamest', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\runWIN', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\ICL', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\GemWare', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\Microsoft DB', '*', true, ' ');
 DeleteDirectory('%USERPROFILE%\appdata\roaming\mail.ru newgamest');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\runWIN');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\ICL');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\GemWare');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\Microsoft DB');     
BC_ImportAll;
ExecuteSysClean;             
BC_Activate;    
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://oreshki-news.net/?source=ic
O4 - HKCU\..\Run: [baidu] C:\Program Files (x86)\baidu\BindEx.exe

 

 

• Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе

• Распакуйте архив с утилитой в отдельную папку

• Запустите FixerBro

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• В главном окне программы нажмите на кнопку "Проверить"

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)

• По окончанию сканирования нажмите на кнопку "Отчет".

• Сохраните лог утилиты

• Прикрепите сохраненный отчет в вашей теме.

 

 

Скачайте ComboFix здесь и сохраните в корень диска С. 

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

 

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

 

Подробнее в "ComboFix. Руководство по применению."

 

 

[Mavki]

quarantine.zip пустой. Остальные логи прикладываю.

ComboFix.txt

FixerBro_20141009.txt

[Roman_Five]

Исправьте следующие ярлыки в FixerBro

================================ [ Ярлыки ] =================================

C:\Users\Вика\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat "http://oreshki-news.net/?source=ic]

C:\Users\Вика\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat "http://oreshki-news.net/?source=ic]

C:\Users\Вика\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Firefox.lnk [C:\Program Files (x86)\Mozilla Firefox\firefox.exe.bat "http://oreshki-news.net/?source=ic]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk [C:\Program Files (x86)\Mozilla Firefox\firefox.exe.bat "http://oreshki-news.net/?source=ic]

=============================================================================

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. 

KillAll::
 
File::
c:\windows\system32\drivers\BDMWrench.sys
c:\windows\system32\drivers\BDArKit.sys
c:\windows\system32\bd64_x64.dll
c:\windows\system32\bd64_x86.dll
c:\windows\system32\drivers\bd0001.sys
c:\windows\system32\drivers\BDMWrench_x64.sys
c:\windows\system32\drivers\BDSafeBrowser.sys
c:\windows\system32\drivers\bd0004.sys
 
Driver::
BDMWrench_x64
BDSafeBrowser
bd0004
BDMWrench
BDArKit
BDSGRTP
 
NetSvc::
 
Folder::
c:\programdata\Baidu
 
Registry::
 
FileLook::
 
DirLook::
 
RegLock::
 

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

+

скачайте OSAM

установите. запустите. дождитесь окончания сканирования.

вверху слева нажмите Save Log

полученный лог osam.html прикрепите к новому сообщению.

[Mavki]

Прикрепляю два лога.

ComboFix.txt

osam.html

[mike 1]

 

Command switches used :: c:\users\Tшър\Desktop\CFScript.txt

Сохраните скрипт из 4 сообщения сначала на диск С, а потом перетащите его на иконку с Combofix. 

[Mavki]

Прикрепляю лог с диска С

ComboFix2.txt

[mike 1]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

KillAll::

 

File::

 

Driver::

 

Folder::

c:\programdata\Baidu

 

Registry::

 

FileLook::

 

DirLook::

 

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

[Roman_Five]

+

повторите для контроля лог OSAM.

[Mavki]

Прикрепляю два лога.

ComboFix3.txt

osam2.html

[mike 1]

Папку эту c:\programdata\Baidu удалите вручную.

 

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

 

 

Скачайте OTCleanIt, запустите, нажмите Clean up

[Mavki]

 

Папку эту c:\programdata\Baidu удалите вручную.

 

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

 

 

Скачайте OTCleanIt, запустите, нажмите Clean up

 

Готово. Нужны еще какие-то логи? Возможно ли будет мне расшифровать файлы? Утилиту от КЛ пробовал, пароль не подходит.

[thyrex]

Больше помочь нечем

[Roman_Five]

Mavki

 

 

 

HashKey: 301b189fcebca32e541e5feb9a430ac0 ID: 19439

[Roman_Five]

Внимание! Данный дешифратор предназначен только для пользователя Mavki


Во избежание окончательной потери информации использовать данный дешифратор другим пострадавшим не рекомендуется
 
Перед использованием дешифратора рекомендуется сделать резервную копию всех зашифрованных файлов.
 
Дешифратор
 
Принцип работы с дешифратором:
 
1. Сохраните дешифратор в отдельную созданную папку. 
 
2. Сохраните прикрепленное вложение в папку с дешифратором. Распакуйте архив с ключом. Запустите сам дешифратор и дождитесь окончания процесса работы дешифратора.

key.zip