Зашифрованные файлы *.odcodc

[Ratatosk]

Добрый день!

 

Один из компьютеров был заражен неизвестным шифровальщиком.

При заражении имена и расширения изменятся по шаблону Z-email-transcript@india.com-<оригинальное_имя>.odcodc

На момент заражения антивирус установлен не был.

Как вирус попал на компьютер выяснить не удалось.

 

Надеюсь на Вашу помощь.

CollectionLog-2016.05.16-16.03.zip

Изменено 16 мая, 2016 пользователем Ratatosk

[mike 1]

• Скачайте Universal Virus Sniffer (uVS)
  

• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  

• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
  

!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.
  

! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

•  
  

 

[Ratatosk]

Прилагаю лог

TERMINAL_2016-05-16_17-15-03.7z

[mike 1]

В принципе уже все ясно. 

 

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Ratatosk]

Добавил

FRST.txt

Addition.txt

[mike 1]

 

Полное имя                  C:\USERS\ELENA\APPDATA\ROAMING\CRIPT.BAT

Имя файла                   CRIPT.BAT

Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске 

                            

Удовлетворяет критериям     

CURRENTVERSION.RUN          (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]

EXECUTE.FILE                (ИМЯ ФАЙЛА ~ .BAT)(1) [auto (0)]

                            

Сохраненная информация      на момент создания образа

Статус                      в автозапуске 

Инф. о файле                Не удается найти указанный файл. 

Цифр. подпись               проверка не производилась

                            

Ссылки на объект            

Ссылка                      HKLM\hthohfclt\Software\Microsoft\Windows\CurrentVersion\Run\Crr1

Crr1                        "C:\Users\Elena\AppData\Roaming\cript.bat"

 

Зашли удаленно через RDP. Пробуйте восстановить этот батник и смотрите что он удалял. 

 

 

Error: (05/15/2016 06:44:37 AM) (Source: Application Error) (EventID: 1000) (User: )

Description: Имя сбойного приложения: 13.exe, версия: 0.0.0.0, отметка времени: 0x5734ce08

Имя сбойного модуля: 13.exe, версия: 0.0.0.0, отметка времени 0x5734ce08

Код исключения: 0xc0000417

Смещение ошибки: 0x0000f6c9

Идентификатор сбойного процесса: 0x2c0

Время запуска сбойного приложения: 0x13.exe0

Путь сбойного приложения: 13.exe1

Путь сбойного модуля: 13.exe2

Код отчета: 13.exe3

Это возможно сам шифровальщик. Поэтому снимаете жесткий с компа и подключаете его к другому компу, а дальше пробуйте ручками при помощи R-Studio восстановить удаленные файлы. Без тела шифровальщика шансов у вас нет. 

[Ratatosk]

рядом с crypt.bat лежал еще crypt.exe все файлы я сохранил отдельно

вот содержимое батника:

@echo off
erase "C:\Users\%username%\Desktop\readthis.txt"
echo Your personal files are encrypted!

What happened to your files?
All of your files were protected by a strong encryption with RSA-2048. https://en.wikipedia.org/wiki/RSA_(cryptosystem)

What does this mean?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you cant restore them.

What to do?
We can recover your files. You can trust us, for proof of this we can decrypt some your files for free.

How to contact you?
Write us to email: transcript@india.com>>"C:\Users\%username%\Desktop\readthis.txt"
echo Your PCID:: TERMINAL**********>>"C:\Users\%username%\Desktop\readthis.txt"

Что делать дальше?

Изменено 16 мая, 2016 пользователем Ratatosk

[mike 1]

 

 

crypt.exe

Упакуйте в архив с паролем virus и отправьте этот архив через данную форму

[Ratatosk]

Файл закачан

[mike 1]

Пишите запрос http://forum.kasperskyclub.ru/index.php?showtopic=48525

 

К запросу прикрепите:

 

1. Архив с файлом 13.exe

2. Несколько зашифрованных файлов в архиве

3. Текстовой файл readthis.txt

[Ratatosk]

Запрос INC000006207643 отправлен

[Ratatosk]

Ответ Касперского:

 

Уважаемый пользователь,благодарим Вас за предоставленные данные. Как нам сообщили вирусные аналитики Ваши данные, зашифрованы Trojan-Ransom.Win32.Onion. Вредоносная программа использует стойкий алгоритм шифрования, а ключ находится у злоумышленников. Наши вирусные аналитики приложили все возможные усилия для расшифровки Ваших данных, однако на данный момент расшифровка пока невозможна.

Возможно в будущем наши вирусные аналитики найдут решение по расшифровке. Мы рекомендуем Вам следить за обновлением утилит в разделе "Утилиты для борьбы с вирусами": http://support.kaspersky.ru/viruses/utility 
В случае, если ключ для расшифровки будет нами получен, он будет добавлен в новую версию утилит. 

Обратите Ваше внимание: Важно всегда держать компонент Мониторинг Активности включённым, с ним риск заражения шифровальщиком сводится к нулю. Подробнее о нём можно почитать в нашей базе знаний: http://support.kaspersky.ru/12091

К сожалению, это все, что мы можем порекомендовать Вам на сегодняшний день. Благодарим Вас за понимание!

[mike 1]

Спустя некоторое время сможете создать новый запрос. Иногда бывает, что спустя время появляется решение.

[thyrex]

Пользователь справился с помощью Blood Dolly