Зашифровали файлы.

[mspuz]

Добрый день. Принесли ноутбук, на котором зашифрованы файлы (в основном изображения и документы). Что я сделал:

 

1. Очистил от всех временных файлов.

2. Почистил автозагрузку, службы, планировщик.

3. Прошелся CureIt

4. Собрал логи.

 

На данный момент подозрительной активности не заметно, но основная проблема - попытаться расшифровать файлы, возможно ли это? Спасибо.

 

В файлах Readme написана вот такая инфа:

 

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

406D46D2AAF6030133D1|272|2|15

на электронный адрес post8881@gmail.com или post24932@gmail.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

 

На всякий случай прилагаю логи и от FRST.

CollectionLog-2015.07.12-15.56.zip

frst.rar

Изменено 12 июля, 2015 пользователем mspuz

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Users\User\AppData\Local\Yandex\browser.bat','');
QuarantineFile('C:\Windows\system32\drivers\wfd_1_10_0_19.sys','');
DeleteService('wfd_1_10_0_19');
DeleteFile('C:\Windows\system32\drivers\wfd_1_10_0_19.sys','32');
DeleteFile('C:\Users\User\AppData\Local\Yandex\browser.bat','32');
DeleteFile('C:\iexplore.bat','32');
DeleteFile('C:\Windows\Tasks\At1.job','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

 

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

[mspuz]

@thyrex, Выполнил скрипт, после перезагрузки выполнил скрипт формирования quarantine.zip. В результате получил пустой архив. После этого проделал манипуляции с ClearLNK. Снова выполнил сбор логов.

CollectionLog-2015.07.12-21.51.zip

ClearLNK-12.07.2015_21-34.log

[thyrex]

Делайте новые логи Farbar

[mspuz]

Вот, сделал новые логи. И хотел уточнить, а все эти логи помогут в расшифровке или даже не надеяться? Спасибо.

frst.zip

[thyrex]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1435847505&z=eccda5f0ba2e53ff956c48egdz2c3webdw1geg4ebo&from=cor&uid=ST320LT020-9YG142_W0485KV3&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1435847505&z=eccda5f0ba2e53ff956c48egdz2c3webdw1geg4ebo&from=cor&uid=ST320LT020-9YG142_W0485KV3&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1435847505&z=eccda5f0ba2e53ff956c48egdz2c3webdw1geg4ebo&from=cor&uid=ST320LT020-9YG142_W0485KV3&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1435847505&z=eccda5f0ba2e53ff956c48egdz2c3webdw1geg4ebo&from=cor&uid=ST320LT020-9YG142_W0485KV3&q={searchTerms}
HKU\S-1-5-21-28039425-2071745047-2723515337-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=dspp&ts=1435847563&z=0e64b8615d5cd734676b4d0g8z2cdw1bbw7g4g0q5e&from=cor&uid=ST320LT020-9YG142_W0485KV3&q={searchTerms}
SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> AB96EF7121787A06494539E673223D6B URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> {2B4A686F-1C15-42C6-B95A-32FF992E0B5C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> {8D7BCC95-4B3A-4597-B533-7B32EBE22488} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> {9AA004CF-1E45-457A-BC7D-C50740405F16} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST320LT020-9YG142_W0485KV3&ts=1435847579&type=default&q={searchTerms}
BHO: No Name -> {10921475-03CE-4E04-90CE-E2E7EF20C814} ->  No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-28039425-2071745047-2723515337-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=9e9a25261139f17be728e297ec511577&text= <==== ATTENTION
Tcpip\..\Interfaces\{33ED3E17-98FC-4BBC-8165-8B3D3C453984}: [NameServer] 37.10.116.203,8.8.8.8
FF Extension: Универсальный перевод для FireFox - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\3jovdkb7.default\Extensions\translator@zoli.bod [2015-07-02]
2015-07-08 15:58 - 2015-07-08 15:58 - 04320054 _____ C:\Users\User\AppData\Roaming\706AF632706AF632.bmp
2015-07-05 11:22 - 2015-07-05 11:22 - 00000175 _____ C:\Users\User\Desktop\Искать в Интернете.url
2015-07-05 11:22 - 2015-07-05 11:22 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт
2015-07-05 11:37 - 2015-07-05 11:37 - 00000000 ____D C:\Users\User\AppData\Roaming\TSearch
2015-07-05 11:23 - 2015-07-05 11:28 - 00000000 ____D C:\Users\User\AppData\Roaming\Obnovi Soft
2015-07-02 13:42 - 2015-07-12 15:32 - 00000000 ____D C:\Users\User\AppData\Local\ExtensionInstaller_14
2015-07-02 13:42 - 2015-07-10 01:28 - 00000000 ____D C:\Users\User\AppData\Roaming\ASPackage
2015-07-02 13:42 - 2009-06-11 01:00 - 00000824 _____ C:\Windows\system32\Drivers\etc\hp.bak
2015-07-02 13:41 - 2015-07-12 15:32 - 00000000 ____D C:\Users\User\AppData\Roaming\eTranslator
C:\ProgramData\help.bat
C:\Users\Все пользователи\help.bat
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  
• Обратите внимание, что компьютер будет перезагружен.
  

[mspuz]

Сделал.

Fixlog.txt

[thyrex]

С расшифровкой не поможем.