ctb-locker словили шифровальщик файлов

[sergey.likhenko]

Добрый день
на компьютере словили шифровальщик файлов
более 60тыс файлов переименовались в 902.DOCX.tunplzd 
все файлы офисного пакета+ пдф + картинки

Когда меня позвали к компьютеру, никаких окон вымагателей уже не было и никаких следов трояна я уже не видел.

я прошелся по инструкции. В безопасном режиме куреит и касперский ничего не нашли
еще добавил в архив несколько шифрованных файлов (я их проверил на вирустотал - все чисто)

 

подскажите план действий и есть ли шанс как-то получить декодер?

Если реально расшифровать файлы, готов поддержать разработку донатом

archive_with_decoderfiles.zip

[mike 1]

Выполните  https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[sergey.likhenko]

Спасибо за попытку помочь,

выкладвываю логи и еще скрин карантина антивируса, может вам нужны эти файлы

 

Если файлы реально расшифровать, я готов сделать донат за труды.

 

CollectionLog-2015.02.10-18.35.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Users\User\xemfuaporaxe.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\mssjal.exe','');
 DeleteFile('C:\Users\User\AppData\Roaming\mssjal.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2523998866','command');
 DeleteFile('C:\Users\User\xemfuaporaxe.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\xemfuaporaxe','command');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2523998866');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\xemfuaporaxe');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Regedit32');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи Автологгером. 

 

 

Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве

 

 

В следующем вашем ответе мне требуются следующие отчеты:

 

1. CollectionLog-yyyy.mm.dd-hh.mm.zip

 

2. mbam-log-[data] (time).txt

Изменено 10 февраля, 2015 пользователем mike 1

[sergey.likhenko]

сделал все по инструкции: 

но файл карантина пустой выгрузился. Размер 1кб. В архиве пусто. 

Я отправлял на иследование, пришло письмо что архив поврежден.

 

остальные логи прикладываю.

 

у меня еще вопрос, вы не знаете, вирус делал клон файла, шифровал и оригинал удалял? или по другой схеме, есть смысл пытаться восстановление файлов делать?

и еще вопрос, в майкрософт антивирусе эти файлы висят в карантине, их удалять или пока не трогать?

MBAM-log-2015-02-11 (17-37-08).txt

CollectionLog-2015.02.11-17.45.zip

[mike 1]

 

Версия базы данных:  v2013.04.04.07

Базы не обновили перед сканированием. Лог нужно переделать.

 

 

 

вы не знаете, вирус делал клон файла, шифровал и оригинал удалял? или по другой схеме, есть смысл пытаться восстановление файлов делать?

Здесь  http://securelist.ru/analysis/obzor/21090/novoe-pokolenie-vymogatelej/ есть описание вируса. У вас CTB-Locker. Можно попробовать из теневых копий восстановить часть файлов, но новые версии CTB Locker затирают теневые резервные копии системы.

Изменено 11 февраля, 2015 пользователем mike 1

[sergey.likhenko]

скажите, если появится дешефратор, где следить чтобы быть вкурсе?

[mike 1]

Дешифратора не будет, поэтому нигде. Жду лог MBAM.