Перейти к содержанию

Фантомас шифровальщик


Рекомендуемые сообщения

Письмо с Арбитражного суда как обычно... Сотрудница перешла по ссылке и вот теперь почти все офисные файлы зашифрованы. Прошу помощи.

 

!!!ФАЙЛЫ ЗАШИФРОВАНЫ!!!
Фантомас разбушевался и зашифровал все Ваши важные файлы, да да, даже офисные!Но не отчаивайтесь, он готов Вам их вернуть, если Вы напишете на его фанто-почту и предложите некоторую сумму денег. Не забудьте указать фанто-идентификатор, написанный в конце названия каждого файла. Фантомас любит заметать следы, поэтому если Вы не отпишете ему в течение 48 часов, он удалит Ваш ключ расшифровки и расшифровка файлов будет невозможна!
Основная почта:
fantomass1998@gmail.com
Запасная почта (если в течение суток нет ответа с основной почты, пишите сюда):
masfantomas@onionmail.in

P.S. Достаточно отправить одно сообщение на почту, не стоит писать 100500 писем типа "ты где аууу?". Мы тоже люди и нам нужно спать, питаться и т.д. Большое кол-во писем от Вас только затруднит получение помощи.
P.P.S. Почта masfantomas@aol.com была заблокирована, если Вам предлагается отписать на это почту, то Вам так же следует отписать на fantomass1998@gmail.com, либо на masfantomas@onionmail.in.


Забыл прикрепить лог

virusinfo_syscheck.zip

hijackthis.log

CollectionLog-2014.10.20-11.27.zip

  • Улыбнуло 1
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте! Деинсталлируйте:

 



Weatherbar-->MsiExec.exe /I{29EA77C2-07D6-44B0-B41D-053380B0C6F4}
Weatherbar-->MsiExec.exe /I{BE742AE3-0C95-46CC-B5C8-9F942FDD9360}
WebBars-->C:\Program Files (x86)\WebBars\uninstall.exe



 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 



begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFileF('C:\Program Files (x86)\RarLab', '*.exe', true, ' ', 0, 0);
 QuarantineFileF('C:\ProgramData\TEMP', '*.exe', true, ' ', 0, 0);           
 QuarantineFile('C:\Users\tskorodko\Documents\Iterra\jgxyvil.dll','');
 QuarantineFile('C:\Users\tskorodko\AppData\Roaming\Gbjyje.exe','');
 QuarantineFile('C:\Program Files\Windows Media Player\wpshare.vbe','');
 QuarantineFile('C:\Program Files (x86)\WinRar\codec.exe','');
 DeleteFile('C:\Program Files (x86)\WinRar\codec.exe','32');
 DeleteFile('C:\Program Files\Windows Media Player\wpshare.vbe','32');
 DeleteFile('C:\Users\tskorodko\AppData\Roaming\Gbjyje.exe','32');
 DeleteFile('C:\Users\tskorodko\Documents\Iterra\jgxyvil.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','progrmma');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','wpshare');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gbjyje','command');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Gbjyje');
 DeleteFileMask('C:\Users\tskorodko\Documents\Iterra', '*', true, ' ');
 DeleteFileMask('C:\ProgramData\TEMP', '*', true, ' ');
 DeleteFileMask('C:\Program Files (x86)\RarLab', '*', true, ' ');
 DeleteDirectory('C:\ProgramData\TEMP');     
 DeleteDirectory('C:\Program Files (x86)\RarLab');     
 DeleteDirectory('C:\Users\tskorodko\Documents\Iterra');          
BC_ImportAll;
ExecuteSysClean;
BC_Activate;     
RebootWindows(false);
end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 



begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.


 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 



O2 - BHO: Weatherbar - {17177FAA-3830-43D3-A70B-FDE532676B1E} - C:\Program Files (x86)\tooldev342\Weatherbar\TracersToolbarBHO_x86.dll
O2 - BHO: TrueSuite WebStore - {5cb2b77d-c8ca-44db-af20-a7a4df462a12} - mscoree.dll (file missing)
O2 - BHO: WebBars - {79E1CFFB-E2E0-436C-B82A-9902BBEA6391} - C:\Program Files (x86)\WebBars\Basement\Extension32.dll
O4 - HKCU\..\Run: [Gbjyje] C:\Users\tskorodko\AppData\Roaming\Gbjyje.exe
O4 - HKLM\..\Policies\Explorer\Run: [wpshare] C:\Program Files\Windows Media Player\wpshare.vbe
O20 - AppInit_DLLs: C:\Users\tskorodko\Documents\Iterra\jgxyvil.dll


 

 

Сделайте новые логи

 


Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!

Если лог не открылся, то найти его можно в следующей папке:



%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве

 


 

Ссылка на комментарий
Поделиться на другие сайты

Прикрепляю лог. Запрос с карантином в Касперский отправил.


Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

codec.exe - Trojan-Ransom.Win32.Cryakl.bo

Детектирование файла будет добавлено в следующее обновление.

oops.exe

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

MBAM-log-2014-10-20 (13-54-30).txt

Ссылка на комментарий
Поделиться на другие сайты

Где новые логи? WebBars почему не деинсталлировали?

 

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
 
Обнаруженные процессы в памяти:  1
C:\Program Files (x86)\WebBars\Basement\ExtensionUpdaterService.exe (PUP.Optional.SweetPacks.A) -> 1620 -> Действие не было предпринято.
Обнаруженные ключи в реестре:  1
HKLM\SYSTEM\CurrentControlSet\Services\Update Service for WebBars (PUP.Optional.SweetPacks.A) -> Действие не было предпринято.
 
Обнаруженные файлы:  39
C:\Program Files (x86)\WebBars\Basement\ExtensionUpdaterService.exe (PUP.Optional.SweetPacks.A) -> Действие не было предпринято.
C:\ProgramData\Symantec\SRTSP\Quarantine\APQE02E.tmp (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Public\Favorites\Favorites.bat (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\360C.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\482.exe (Trojan.Ransom) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\71.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\9F80.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\AD9A.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\B501.exe (Trojan.Ransom) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\BCFB.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\BD76.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\BE62.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\D135.exe (Trojan.Ransom) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\D44E.exe (Trojan.Ransom) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\E2F7.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\EC95.exe (Trojan.Ransom) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\F56C.exe (Trojan.Ransom) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\FC63.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\62AXOPQ5\update[1] (PUP.Optional.SweetPacks.A) -> Действие не было предпринято.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\62AXOPQ5\update[2] (PUP.Optional.SweetPacks.A) -> Действие не было предпринято.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LIXMVQOA\update[1] (PUP.Optional.SweetPacks.A) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\1579.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\2534.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\3745.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\3940.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\4552.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\5663.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\6049.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\7219.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\7661.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\7851.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\8351.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\9249.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\9472.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\1E97.exe (Backdoor.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\2D76.exe (Backdoor.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\3C85.exe (Backdoor.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\B918.exe (Backdoor.Agent.Gen) -> Действие не было предпринято.
C:\Users\tskorodko\AppData\Roaming\FB78.exe (Backdoor.Agent.Gen) -> Действие не было предпринято.
 
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
 

 

 

 

Ссылка на комментарий
Поделиться на другие сайты

 

 


Прикрепляю новые логи Прикрепленные файлы  hijackthis.log   14,3К   Количество загрузок: 0  KL_syscure.zip   29,02К   Количество загрузок: 0

это не ТЕ новые логи.

прочтите правила ещё раз.

Ссылка на комментарий
Поделиться на другие сайты

 

Прикрепляю новые логи Прикрепленные файлы  hijackthis.log   14,3К   Количество загрузок: 0  KL_syscure.zip   29,02К   Количество загрузок: 0

это не ТЕ новые логи.

прочтите правила ещё раз.

 

Я извиняюсь, но я сделал как написали - в MBAM просканил, сделал "Remove Selected", затем повторно просканил как было написано и выложил логи.

Ссылка на комментарий
Поделиться на другие сайты

Для устранения уязвимостей выполните в AVZ скрипт из файла ScanVuln.txt
Откройте файл avz_log.txt из подпапки LOG (AVZ4\LOG\avz_log.txt) или из корня диска С (С:\avz_log.txt).
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Важно: обратите внимание, при установке сервис-паков и обновлении ОС может потребоваться повторная активация Windows.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

 

После этого приложите новые логи MBAM и Combofix

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • ad_art
      От ad_art
      Здравствуйте, требуется помощь в расшифровке файлов.
      Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.
      First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z
    • yarosvent
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
×
×
  • Создать...