Зашифрованы файлы и почтовый адрес для связи

[Menvik]

 Добрый день!

На компьютере бухгалтера произошла зашифровка файлов (конкретно 1С и Сбис) замысловатым почтовым адресом (email-edinstveniy_decoder@aol.com .ver-CL 1.2.0.0).

Здесь в соседней теме видел такой же шифровальщик (ссылка https://forum.kasperskyclub.ru/index.php?showtopic=48754) и вроде человеку помогли.

Файлы выглядят таким образом email-edinstveniy_decoder@aol.com .ver-CL 1.2.0.0.id-MMNOPQQQRRSTUUVVVWXXYZZZAABCCDDDEFFG-19.02.2016 7@11@042161268.randomname-ABBBCDEFFFGHHIJJKKLLMNNOOPPQRR.STT , а само расширение файла стало cbf. Поправка - пострадали только файлы с расширением cbf.

 

Прикрепляю файл логгера. Требование было только связаться по почте для расшифровки.

зашифрованныйфайл.rar

CollectionLog-2016.02.24-11.53.zip

report1.log

report2.log

Изменено 24 февраля, 2016 пользователем Menvik

[mike 1]

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[Elly]

Сообщение от модератора Elly

Не надо в файловое хранилище грузить свои проблемные файлы.

Прочитайте правила и прикрепите файлы к сообщению.

[Menvik]

Сообщение от модератора Elly

Не надо в файловое хранилище грузить свои проблемные файлы.

Прочитайте правила и прикрепите файлы к сообщению.

Каюсь, поторопился, увидел такие же файлы и решил что надо так же. Исправился.

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files (x86)\WebBars\IEEF\CI7HeWz_6w.dll','');
 QuarantineFile('C:\Users\Apserver\AppData\Roaming\mystartsearch\UninstallManager.exe','');
 QuarantineFile('C:\Program Files (x86)\WebBars\9g6tgme.exe','');
 QuarantineFile('C:\Users\Apserver\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE','');
 DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}');
 QuarantineFile('C:\Program Files (x86)\XTab\SupTab.dll','');
 DeleteFile('C:\Program Files (x86)\XTab\SupTab.dll','32');
 DeleteFile('C:\Users\Apserver\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\Tasks\Price Fountain.job','32');
 DeleteFile('C:\Program Files (x86)\WebBars\9g6tgme.exe','32');
 DeleteFile('C:\Windows\Tasks\Update Service for WebBars.job','32');
 DeleteFile('C:\Windows\Tasks\Update Service for WebBars2.job','32');
 DeleteFile('C:\Windows\system32\Tasks\Price Fountain','64');
 DeleteFile('C:\Users\Apserver\AppData\Roaming\mystartsearch\UninstallManager.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{BA9C2992-B477-4835-9F2F-D72AA968E6D1}','64');
 DeleteFile('C:\Program Files (x86)\WebBars\IEEF\CI7HeWz_6w.dll','32');
 DeleteFile('C:\Users\Apserver\AppData\Local\Amigo\Application\44.0.2403.111\libglesv2.dll','32');
 DeleteFile('C:\Users\Apserver\AppData\Local\Amigo\Application\44.0.2403.111\libegl.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

[Menvik]

Re: Вирус-шифратор зашифровал cbf файлы [KLAN-3813055446]

Hello,

 

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

 

CI7HeWz_6w.dll,

UPDATE~1.EXE

 

A set of unknown files has been received. They will be sent to the Virus Lab.

 

SupTab.dll - not-a-virus:AdWare.Win32.

SubTab.d

 

This file is an Advertizing Tool, It's detection will be included in the next   update of extended databases set.

 

Best Regards, Kaspersky Lab

 

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  http://www.kaspersky.com http://www.viruslist.com"

 

----

Выполнил.

Еще нашлись текстовые файлы с содержанием:

НАПИШИТЕ ЗА РАСШИФРОВКОЙ НА ПОЧТУ УКАЗАНУЮ В ФАЙЛАХ

УКАЖИТЕ ВАШ ИДЕНТИФИКАТОР В ТЕМЕ ПИСЬМА : 201

ИНАЧЕ ПИСЬМА БУДУТ ИГНОРИРОВАТЬСЯ!

CollectionLog-2016.02.24-13.45.zip

[mike 1]

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

Изменено 24 февраля, 2016 пользователем mike 1

[Menvik]

Отсканировал.

AdwCleanerS1.txt

[thyrex]

Отметьте и удалите все найденное в AdwCleaner

[Menvik]

Отметьте и удалите все найденное в AdwCleaner

Так уже все что он отметил автоматом (а что показал, то и отметил), уже удалил и перезагрузился. Только после этого и получился файл с отчетом.

[thyrex]

А файл, который запустили, сохранился?

 

+ Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

[Menvik]

Да, запускаемый файл сохранился.

Скан и результат программы frst есть, оба файла в архиве.

frst.zip

[thyrex]

Да, запускаемый файл сохранился.

Заархивируйте с паролем virus, выложите на Яндекс-диск и пришлите ссылку в личные сообщения

[Menvik]

 

Да, запускаемый файл сохранился.

Заархивируйте с паролем virus, выложите на Яндекс-диск и пришлите ссылку в личные сообщения

 

Я извиняюсь, но нет того вирусного файла, я про другой файл подумал, AdwCleaner.

[thyrex]

Даже в почте не сохранился?