Шифрование RSA-4096, к именам файлов добавилось .micro

[avantag]

Здравствуйте, вступил в общество потерпевших с зашифрованными файлами. Отличие в том, что имя расширения не breaking_bad и тп, а добавлено ".micro". В папках лежат инструкции, в которых сообщено о том, что весь контент компьютера зашифрован и что у пользователя есть два пути - ждать чуда или пойти по линкам выполнить инструкции.

 

Прикладываю требуемые правилами логи.

Благодарю за помощь.

CollectionLog-2016.02.03-16.14.zip

[mike 1]

TeslaCrypt это.

 

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Users\inna\AppData\Roaming\rskcjuj.exe','');
 DeleteFile('C:\Users\inna\AppData\Roaming\rskcjuj.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','gatert-12010');
 DeleteFile('C:\Users\inna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+rfx.html','32');
 DeleteFile('C:\Users\inna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+rfx.png','32');
 DeleteFile('C:\Users\inna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+rfx.txt','32');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Сделайте новые логи Автологгером. 

 

[avantag]

Благодарю за реакцию.

 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

 

Сделайте новые логи Автологгером. 

 

 

Quarantine.zip отправлен, лог Автологера прикреплён. 

 

Сообщение от модератора Mark D. Pearlstone

Не прикрепляйте quarantine.zip на форум. Файл удален.

 

Прошу прощения за невнимательность.

[mike 1]

И где новые логи?

[avantag]

И где новые логи?

 

Извиняюсь, что не заменил. Прикрепляю.

CollectionLog-2016.02.03-19.17.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[avantag]

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

...

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

 

Отчёты во вложении.

Addition.txt

FRST.txt

[Roman_Five]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:



HKLM-x32\...\Run: [] => [X]

HKU\S-1-5-21-2396710545-343208929-3341785818-1001\...\Policies\Explorer: [] 

2016-01-18 14:38 - 2016-02-03 18:57 - 00000180 _____ C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat

2016-01-18 14:38 - 2016-01-18 14:38 - 00000200 _____ C:\WINDOWS\system32\{EC94D02F-D200-4428-9531-05AF7F9799CB}.bat

Task: {1436788F-45EF-437D-96BD-6D6B4163B1AA} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION

Task: {34763EF8-E938-4962-82DD-57F6FFB00100} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION

Task: {444337B5-800F-4A43-B18E-D5E4D79B05F8} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION

Task: {4D69BF25-8FA6-42CC-9ADC-C28752B7A63A} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION

Task: {587B95D6-5461-4E2B-A098-8445DA8BC4D8} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION

Task: {66D0C10F-7748-43E0-BA9C-3F530C9D9B08} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION

Task: {72DC0B9E-AB4B-43A3-9B55-C5961D4AF94B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION

Task: {787C89A8-FAEE-4C5E-9F1F-49A3C31CB10A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION

Task: {7ED2339F-1ECC-42F8-B271-E360360F4904} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION

Task: {9C89FD06-C386-407B-AFFE-838121773575} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION

Task: {A3DECC93-5A22-45FB-A2E6-5D1C61B90C31} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION

Task: {E304A466-3E24-4C3A-BDFA-9573C4CBF831} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION

Task: {F650D078-C051-4583-BC14-096B195F24EA} - \AutoKMS -> No File <==== ATTENTION

AlternateDataStreams: C:\ProgramData\TEMP:A1EDB939



Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

[avantag]

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

 

Файл во вложении. Благодарю.

Fixlog.txt

[mike 1]

Расшифровки пока нет. 

[avantag]

 

 

Расшифровки пока нет. 

 

Означает ли это, что требуется подождать? Или дело бесперспективное?

Правильно ли я понимаю, что контент заражённого компьютера иначе никак не спасти? Что-то в духе переноса важных файлов на другой носитель и форматирование заражённого диска с системой.

 

Какие меры предпринять, чтобы не попасть в подобную ситуацию на других компьютерах?

[mike 1]

Думаю пока имеет смысл подождать. Сносить систему не нужно.

 

 

 

Какие меры предпринять, чтобы не попасть в подобную ситуацию на других компьютерах?

Основные рекомендации собраны тут  http://support.kaspersky.ru/viruses/common/10952

http://forum.kaspersky.com/index.php?showtopic=314866

Изменено 4 февраля, 2016 пользователем mike 1

[mike 1]

 

C:\Users\inna\Documents\help_recover_instructions+rfx.txt

 

Прикрепите к сообщению. 

[avantag]

C:\Users\inna\Documents\help_recover_instructions+rfx.txt

 

Прикрепил. Такой файл так же есть во многих папках, в txt, png и html вариантах.

help_recover_instructions+rfx.txt

Изменено 5 февраля, 2016 пользователем avantag

[thyrex]

Еще эти файлы пришлите

C:\Users\inna\Documents\recover_file_jvkemwfup.txt

C:\Users\inna\Documents\recover_file_cpwwbiqyi.txt