Все файлы на компьютере зашифрованы Seven_Legion2@aol.com.ver-CL 1.0.0.0.id

[Александр Гранов]

Добрый день!

Открыли почту от судебных приставов и все файлы (офисные, pdf) переименовались в:    

email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id-LZHWGLZEJNIDLFQBZUFQOJUPNHSDCWHSQBMH-11.09.2015 11@06@114879741.randomname-RQSJJEITOZKVKUWHSTUVGHIKVWXYJK.DXS.cbf

1. Компьютер проверили с помощью KVRT.

2. Логи собрали с помощью AutoLogger

3. Результат во вложение, и зашифрованный файл.

Сохранить сам шифратор не получилось, хозяин компьютера пытался сразу все удалить думая что это исправит ситуацию.

CollectionLog-2015.09.11-16.45.zipПолучение информации...

file_cbf.zipПолучение информации...

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\Любовь Семеновна\Application Data\Khiuie.exe','');
DeleteFile('C:\Documents and Settings\Любовь Семеновна\Application Data\Khiuie.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Khiuie');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.
  
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  
• Прикрепите этот отчет к своему следующему сообщению.
  

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[Александр Гранов]

Добрый день!

 

KLAN-3130699663

 

LOG  во вложение.

 

И на всякий случай quarantine во вложение.

 

Сообщение от модератора Mark D. Pearlstone

quarantine.zip прикреплять не нужно. Файл удалён.

ClearLNK-12.09.2015_12-43.logПолучение информации...

CollectionLog-2015.09.12-13.34.zipПолучение информации...

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Александр Гранов]

Добрый день!

 

Результаты сканирования во вложение.

 

FRST.txtПолучение информации...

Addition.txtПолучение информации...

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
HKLM\...\Run: [] => [X]
HKU\S-1-5-21-2041464811-3204619288-2303085401-1005\...\Winlogon: [Shell] C:\WINDOWS\explorer.exe [1034240 2008-06-09] (Корпорация Майкрософт) <==== ATTENTION
SearchScopes: HKU\S-1-5-21-2041464811-3204619288-2303085401-1005 -> {89C4A819-BC8D-4909-AB06-1413F0A191FB} URL = hxxp://iskalko.ru/browser.php?t=2&m=firms_1&s={searchTerms}
Toolbar: HKU\S-1-5-21-2041464811-3204619288-2303085401-1005 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
2015-09-11 11:06 - 2015-09-11 12:30 - 00000081 _____ C:\Program Files\FWOCPGCDKI.MTT
2015-09-11 11:05 - 2015-09-11 11:05 - 00519168 _____ C:\Program Files\Договор для подписания и печатей для бухгалтерии.docx.exe
2011-12-08 05:16 - 2011-12-08 05:16 - 0002592 _____ () C:\Documents and Settings\Любовь Семеновна\Application Data\310.exe
2011-12-08 05:16 - 2011-12-08 05:16 - 0002592 _____ () C:\Documents and Settings\Любовь Семеновна\Application Data\315.exe
2011-12-08 06:03 - 2011-12-08 06:03 - 0002592 _____ () C:\Documents and Settings\Любовь Семеновна\Application Data\31F.exe
2011-12-08 06:03 - 2011-12-08 06:03 - 0002592 _____ () C:\Documents and Settings\Любовь Семеновна\Application Data\324.exe
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.
  

[Александр Гранов]

Результат работы Fix

Fixlog.txtПолучение информации...

[thyrex]

С расшифровкой не поможем

[Александр Гранов]

  В 13.09.2015 в 07:50, thyrex сказал:

С расшифровкой не поможем

 

Причину можете сказать?

 

И есть ли организацию которые смогут расшифровать? Которые вы знаете.  

[thyrex]

Невозможность подбора ключей RSA за приемлемое время

 

 

 

  Александр Гранов сказал:

И есть ли организацию которые смогут расшифровать? Которые вы знаете

увы, помогут только злодеи

[Александр Гранов]

  В 13.09.2015 в 08:10, thyrex сказал:

 

Невозможность подбора ключей RSA за приемлемое время

 

 

 

  Александр Гранов сказал:

И есть ли организацию которые смогут расшифровать? Которые вы знаете

увы, помогут только злодеи

 

 

А приемлемое время это сколько? 

 

И есть ли возможность организовать подбор ключей больше чем приемлемое время?

 

[thyrex]

Приемлемое время - это сотни лет при современной скорости перебора

[Александр Гранов]

Понятно.

 

Подскажите после вируса шифровщика надо ОС переустанавливать? Или он больше не активен.

[thyrex]

Активного вируса уже нет.

 

В переустановке никакого смысла нет.

[mike 1]

Проверьте эти файлы на virustotal

C:\FRST\Quarantine\C:\Program Files\Договор для подписания и печатей для бухгалтерии.docx.exe

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.