Вирус-шифровальщик.xtbl, decodefile001@gmail.com или decodefile002@gmail.com

[kiddr]

Добрый день! Получил по почте письмо от "Бухгалтерии" с прикрепленным архивом (акт передачи и какой то длинный номер), после скачки и извлечения запустил файл. В следствии чего в течении 15 минут на компьютере были зашифрованы все картинки и текстовые файлы-Word в формат .xtbl, а на рабочем столе появилась заставка с координатами вымогателя и сообщение о том что файлы, описанные выше, зашифрованы, плюс текстовый файл формата .txt со следующим текстом:

 

"Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

1E05A087200D94333D18|0

на электронный адрес decodefile001@gmail.com или decodefile002@gmail.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."

 

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

1E05A087200D94333D18|0

to e-mail address decodefile001@gmail.com or decodefile002@gmail.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

 

Еще последствия: в реестре появились ветки с белебердовым именем, которых до этого не существовало. Файл boot.ini отсутствовал, но вместо него был boot.ini.backup, в котором добавлена еще одна строчка связанная с диском "С", но при этом загрузка Windows происходит в обычном режиме за исключением того что при загрузке Доса показана та самая "допонительная" строчка из boot.ini.backup. Возможность загрузки и восстановления, выбора операционки затенена, плюс выдает ошибку о том что не может найти файл boot.ini, зато может создать новый. 

 

Прикрепляю файлы логов, отчет антивируса и ветку реестра.

 

Так же у меня имеется сам вирус-шифровальщик, при необходимости могу прикрепить "эту программу"

CollectionLog-2015.09.25-10.15.zipПолучение информации...

cureit.rarПолучение информации...

Подозрительная вещь.Ветка того самого Вируса (Самурай-имя фотографий кота).rarПолучение информации...

[thyrex]

Выполните скрипт в AVZ

begin

 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');

ExecuteSysClean;

RebootWindows(false);

end.

Будет выполнена перезагрузка компьютера.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[kiddr]

  В 25.09.2015 в 15:00, thyrex сказал:

 

Выполните скрипт в AVZ

begin
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
ExecuteSysClean;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

 

Выполнил все как в инструкции. Жду следующего совета заранее благодарен.

CollectionLog-2015.09.28-08.50.zipПолучение информации...

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

[kiddr]

Отправляю файлы, жду дальнейших указаний.

Addition.txtПолучение информации...

FRST.txtПолучение информации...

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
Task: {0AAA3715-1B5B-4093-B681-53354AA66300} - \Daily Trigger ScheduleCD -> No File <==== ATTENTION
Task: {190614C9-AB8B-417E-BF1A-D26B797DE5AF} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {1D270B8B-F8BC-4995-A135-EBD8A1D85C42} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {5A400E27-72E8-4AED-9864-01217CC1B4AD} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {5E8C7CAA-D318-48D9-882D-9D1E43750610} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {95F97DA7-A9D3-4741-87CE-BA7BE6F013D9} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {A1E77187-6D4C-49E8-AF72-EA75352F4C17} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {ABF5B323-9916-44EC-969D-92A103CAA076} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {F66979D4-9D5C-4FFC-ACEC-2ADA56B89E47} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
2015-09-25 08:10 - 2015-09-25 08:10 - 00000000 ____D C:\Device
2015-09-17 15:02 - 2015-09-17 15:02 - 03932214 _____ C:\Documents and Settings\1\Application Data\EEDCD8F2EEDCD8F2.bmp
2015-09-17 13:09 - 2015-09-17 13:09 - 00000907 _____ C:\README9.txt
2015-09-17 13:09 - 2015-09-17 13:09 - 00000907 _____ C:\README8.txt
2015-09-17 13:09 - 2015-09-17 13:09 - 00000907 _____ C:\README7.txt
2015-09-17 13:09 - 2015-09-17 13:09 - 00000907 _____ C:\README6.txt
2015-09-17 13:09 - 2015-09-17 13:09 - 00000907 _____ C:\README5.txt
2015-09-17 13:09 - 2015-09-17 13:09 - 00000907 _____ C:\README4.txt
2015-09-17 13:09 - 2015-09-17 13:09 - 00000907 _____ C:\README3.txt
2015-09-17 13:09 - 2015-09-17 13:09 - 00000907 _____ C:\README2.txt
2015-09-17 13:09 - 2015-09-17 13:09 - 00000907 _____ C:\README10.txt
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.
  

[kiddr]

Сделал.

Fixlog.txtПолучение информации...

[thyrex]

С расшифровкой не поможем

[kiddr]

Если не сложно, поясните в чем причина? Подскажите как устроен этот шифратор и какую информацию Вы искали в логах? буду очень признателен с ответом. Жизненно необходимая информация. Заранее благодарен. 

[thyrex]

RSA-шифрование. В логах искали возможные следы и остатки прочего зверья

[kiddr]

Спасибо, и все же про сам метод шифрование не очень ясно, чем он так страшен? Если откинуть все сложные слова и посмотреть на логику шифра и кто его может использовать?

Изменено 29 сентября, 2015 пользователем kiddr

[mike 1]

https://ru.wikipedia.org/wiki/RSA

 

Стойкость этого алгоритма заключается в том, что нужно разложить на простые множители достаточно большие числа.