Перейти к содержанию

Вирус зашифровал файлы в AES256


Рекомендуемые сообщения

Приветствую! Вирус зашифровал самые распространенные файлы в AES256.

 

Содержание файлы "ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt":

 

Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.
Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.

Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты.
TOR: https://www.torproject.org/ | Видео инструкция:
url_1: http://y6kpyefykdvswxps.onion:4567/pay.html
url_2: http://gi3ruskskqzff2rw.onion:4567/pay.html
HashKey: 301b189fcebca32e541e5feb9a430ac0
ID: 19439

 


Прикладываю образцы зашифрованных файлов.

CollectionLog-2014.10.09-21.52.zip

example.zip

Ссылка на сообщение
Поделиться на другие сайты
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;   
 QuarantineFileF('%USERPROFILE%\appdata\roaming\mail.ru newgamest', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\runWIN', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\ICL', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\GemWare', '*', true, ' ', 0, 0);
 QuarantineFileF('%USERPROFILE%\AppData\Roaming\Microsoft DB', '*', true, ' ', 0, 0);
 QuarantineFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
 DeleteFile('%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');     
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');   
 DeleteFileMask('%USERPROFILE%\appdata\roaming\mail.ru newgamest', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\runWIN', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\ICL', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\GemWare', '*', true, ' ');
 DeleteFileMask('%USERPROFILE%\AppData\Roaming\Microsoft DB', '*', true, ' ');
 DeleteDirectory('%USERPROFILE%\appdata\roaming\mail.ru newgamest');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\runWIN');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\ICL');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\GemWare');     
 DeleteDirectory('%USERPROFILE%\AppData\Roaming\Microsoft DB');     
BC_ImportAll;
ExecuteSysClean;             
BC_Activate;    
RebootWindows(false);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://oreshki-news.net/?source=ic
O4 - HKCU\..\Run: [baidu] C:\Program Files (x86)\baidu\BindEx.exe
 
 

  • Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе
  • Распакуйте архив с утилитой в отдельную папку
  • Запустите FixerBro

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

  • В главном окне программы нажмите на кнопку "Проверить"
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)
  • По окончанию сканирования нажмите на кнопку "Отчет".
  • Сохраните лог утилиты
  • Прикрепите сохраненный отчет в вашей теме.
 
 

Скачайте ComboFix здесь и сохраните в корень диска С. 
 
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
 
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe
 
 
 
Ссылка на сообщение
Поделиться на другие сайты

Исправьте следующие ярлыки в FixerBro

================================ [ Ярлыки ] =================================
C:\Users\Вика\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat "http://oreshki-news.net/?source=ic]
C:\Users\Вика\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat "http://oreshki-news.net/?source=ic]
C:\Users\Вика\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Firefox.lnk [C:\Program Files (x86)\Mozilla Firefox\firefox.exe.bat "http://oreshki-news.net/?source=ic]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk [C:\Program Files (x86)\Mozilla Firefox\firefox.exe.bat "http://oreshki-news.net/?source=ic]
=============================================================================

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. 
KillAll::
 
File::
c:\windows\system32\drivers\BDMWrench.sys
c:\windows\system32\drivers\BDArKit.sys
c:\windows\system32\bd64_x64.dll
c:\windows\system32\bd64_x86.dll
c:\windows\system32\drivers\bd0001.sys
c:\windows\system32\drivers\BDMWrench_x64.sys
c:\windows\system32\drivers\BDSafeBrowser.sys
c:\windows\system32\drivers\bd0004.sys
 
Driver::
BDMWrench_x64
BDSafeBrowser
bd0004
BDMWrench
BDArKit
BDSGRTP
 
NetSvc::
 
Folder::
c:\programdata\Baidu
 
Registry::
 
FileLook::
 
DirLook::
 
RegLock::
 
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
blogentry-9410-1358286219.gif
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 
+
скачайте OSAM
установите. запустите. дождитесь окончания сканирования.
вверху слева нажмите Save Log
полученный лог osam.html прикрепите к новому сообщению.
Ссылка на сообщение
Поделиться на другие сайты

 

Command switches used :: c:\users\Tшър\Desktop\CFScript.txt

Сохраните скрипт из 4 сообщения сначала на диск С, а потом перетащите его на иконку с Combofix. 

Ссылка на сообщение
Поделиться на другие сайты
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.



KillAll::
 
File::
 
Driver::
 
Folder::
c:\programdata\Baidu
 
Registry::
 
FileLook::
 
DirLook::
 
Reboot::


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

5315621m.gif

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

Ссылка на сообщение
Поделиться на другие сайты

Папку эту c:\programdata\Baidu удалите вручную.

 

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
 
671e520b7c2d.jpg
 
Скачайте OTCleanIt, запустите, нажмите Clean up
Ссылка на сообщение
Поделиться на другие сайты

 

Папку эту c:\programdata\Baidu удалите вручную.

 

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
 
671e520b7c2d.jpg
 
Скачайте OTCleanIt, запустите, нажмите Clean up

 

Готово. Нужны еще какие-то логи? Возможно ли будет мне расшифровать файлы? Утилиту от КЛ пробовал, пароль не подходит.

Ссылка на сообщение
Поделиться на другие сайты

Внимание! Данный дешифратор предназначен только для пользователя Mavki


Во избежание окончательной потери информации использовать данный дешифратор другим пострадавшим не рекомендуется
 
Перед использованием дешифратора рекомендуется сделать резервную копию всех зашифрованных файлов.
 
Дешифратор
 
Принцип работы с дешифратором:
 
1. Сохраните дешифратор в отдельную созданную папку. 
 
2. Сохраните прикрепленное вложение в папку с дешифратором. Распакуйте архив с ключом. Запустите сам дешифратор и дождитесь окончания процесса работы дешифратора.

key.zip

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...