Вирус шифровальщик breaking_bad

[night-day]

Здравствуйте! поймали вирус шифровальщик.

Все файлы зашифрованы с расширением breaking_bad.

работник открыл письмо с вирусом. 

 

появились файлы readme.txt с содержанием

 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
2FE4235A481EA709E59D|0
на электронный адрес files1147@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Лицензия есть.(была куплена)

Очень нужна ваша помощь. так как на компьютере были БД 1с, и куча документов.

Спасибо.

CollectionLog-2015.11.30-11.07.zip

[Roman_Five]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 QuarantineFile('C:\Users\1\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 QuarantineFile('C:\Users\1\AppData\Roaming\Browsers\exe.emorhc.bat','');
 DeleteFile('C:\Users\1\AppData\Roaming\Browsers\exe.emorhc.bat','32');
 DeleteFile('C:\Users\1\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.

Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.

 

Сделайте новые логи по правилам (только пункт 2).

+
логи FRST
 

 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

[night-day]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 QuarantineFile('C:\Users\1\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 QuarantineFile('C:\Users\1\AppData\Roaming\Browsers\exe.emorhc.bat','');
 DeleteFile('C:\Users\1\AppData\Roaming\Browsers\exe.emorhc.bat','32');
 DeleteFile('C:\Users\1\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.

"Порядок действий на портале Kaspersky Virus Desk:":

 

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.

 

 

Полученный через электронную почту ответ сообщите в этой теме.

 

Сделайте новые логи по правилам (только пункт 2).

 

+

логи FRST

 

 

 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

 

 

Файлы логов и ответов.

ClearLNK-30.11.2015_12-13.zip

ответ_от_kaspersky_virus_desk.txt

CollectionLog-2015.11.30-13.12.zip

frst.zip

Спасибо.

Изменено 30 ноября, 2015 пользователем Sandor
Убрал карантин

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR Extension: (Quick Searcher) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\mlomiejdfkolichcflejclcbmpeaniij [2015-07-23]
2015-11-26 15:00 - 2015-11-27 02:45 - 00000000 ____D C:\Users\1\AppData\Local\Orlics
2015-11-26 15:00 - 2015-11-26 15:00 - 04320054 _____ C:\Users\1\AppData\Roaming\AD5BA5C1AD5BA5C1.bmp
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README9.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README8.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README7.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README6.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README5.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README4.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README3.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README2.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README10.txt
AlternateDataStreams: C:\Users\1\Downloads\FRST64.exe:BDU
AlternateDataStreams: C:\Users\1\Downloads\KVRT.exe:BDU
AlternateDataStreams: C:\Users\1\Downloads\rectordecryptor.exe:BDU
AlternateDataStreams: C:\Users\1\Downloads\setuponenotefreeretail.x86.ru-ru_.exe:BDU
AlternateDataStreams: C:\Users\1\Downloads\TeamViewerQJ (1).exe:BDU
AlternateDataStreams: C:\Users\1\Downloads\TeamViewer_Setup_ru.exe:BDU
AlternateDataStreams: C:\Users\1\Downloads\xoristdecryptor.exe:BDU
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.
  

[night-day]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR Extension: (Quick Searcher) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\mlomiejdfkolichcflejclcbmpeaniij [2015-07-23]
2015-11-26 15:00 - 2015-11-27 02:45 - 00000000 ____D C:\Users\1\AppData\Local\Orlics
2015-11-26 15:00 - 2015-11-26 15:00 - 04320054 _____ C:\Users\1\AppData\Roaming\AD5BA5C1AD5BA5C1.bmp
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README9.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README8.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README7.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README6.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README5.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README4.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README3.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README2.txt
2015-11-26 15:00 - 2015-11-26 15:00 - 00000839 _____ C:\Users\1\Desktop\README10.txt
AlternateDataStreams: C:\Users\1\Downloads\FRST64.exe:BDU
AlternateDataStreams: C:\Users\1\Downloads\KVRT.exe:BDU
AlternateDataStreams: C:\Users\1\Downloads\rectordecryptor.exe:BDU
AlternateDataStreams: C:\Users\1\Downloads\setuponenotefreeretail.x86.ru-ru_.exe:BDU
AlternateDataStreams: C:\Users\1\Downloads\TeamViewerQJ (1).exe:BDU
AlternateDataStreams: C:\Users\1\Downloads\TeamViewer_Setup_ru.exe:BDU
AlternateDataStreams: C:\Users\1\Downloads\xoristdecryptor.exe:BDU
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

 

• Обратите внимание, что компьютер будет перезагружен.

   

   

 

 

 

Файл результата

Fixlog.txt

[thyrex]

С расшифровкой не поможем

[night-day]

С расшифровкой не поможем

можно узнать причину?

[thyrex]

Лаборатория Касперского пытается помочь с этим шифровальщиком только обладателям действующей лицензии на своим продукты

[night-day]

Лаборатория Касперского пытается помочь с этим шифровальщиком только обладателям действующей лицензии на своим продукты

я же написал ещё в первом сообщении, что приобрели лицензию на Internet Security! установить не успели. лицензия есть. в логах её естественно нет. устанавливать не стал, так как вдруг хуже будет.

скажите что сделать.

[thyrex]

Тогда так   http://forum.kaspersky.com/index.php?showtopic=337288