словил вирус-шифровальщик VAUL

[Vladimir Borischuk]

Пришло на почту письмо следующего содержания:

 

"Приветствуем Вас.
Обратите внимание, что предоставленные наши услуги все еще не проплачены. Кстати, наш счет в банке заблокирован. Отправляю новые реквизиты для перевода суммы - см. вложение. Ждем до конца этой недели проплату, пока пеню не начисляем. Свяжитесь с нами.

Список приложенных файлов (1):
1. Счет для оплаты .pdf

С Уважением к Вам,
Игорь Павлов,
СРО НП ОПКД"

 

 

 

пришло в 1:43 по московскому времени, ткнул без задней мысли на ссылку на приложенный файл "1. Счет для оплаты .pdf" - произошло что-то не понятное, потом уже увидел, что все документы doc, xls, даже файлы автокада dwg, переименовались в doc.vault, xls.vault, dwg.vault и не открываются. ручное переименование не помогает.

 

Выскочил банер, где мошенники дают подробную инструкцию, как им заплатить, чтоб они прислали ПО и ключ для восстановления файлов. Ради спортивного интереса иду на контакт, предлагают пробно 4 файла бесплатно восстановить и то не все, а лиш те, которые на их усмотрение не представляют особой важности. После долгой дискуссии предоставили скриншот очень важного мне xls файла. Кстати стоимость полного восстановления 235 у.е.

CollectionLog-2016.06.17-18.31.zip

[Sandor]

Здравствуйте!

 

Восстановление системы: Отключено - хоть и поздно, но рекомендую включить.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\ammemb.dll', '');
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\VAULT.hta', '');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\ammemb.dll', '32');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\VAULT.hta', '32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Vladimir Borischuk]

сделал всё по инструкции, с адреса newvirus@kaspersky.com было получено автоматическое письмо (KLAN-4478532805) :

Здравствуйте,
Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.
ammemb.dll,
VAULT.hta
Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.
С уважением, Лаборатория Касперского
"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

 

 

 

Подскажите, есть шанс на восстановление моих зашифрованных файлов?

Изменено 20 июня, 2016 пользователем Vladimir Borischuk

[mike 1]

 

Подскажите, есть шанс на восстановление моих зашифрованных файлов?

 

Нет

[Sandor]

, пожалуйста, дополнительно:

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Vladimir Borischuk]

, пожалуйста, дополнительно:

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

ругается, что делать?

[Sandor]

Сообщил разработчику.

 

Утилита FRST обновлена. Скачайте заново и соберите логи.

Изменено 21 июня, 2016 пользователем Sandor

[Vladimir Borischuk]

Сообщил разработчику.

 

Утилита FRST обновлена. Скачайте заново и соберите логи.

сделал

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Прокси в Мозилле настраивали самостоятельно?

 

 

Включите Восстановление системы.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-1801674531-1960408961-682003330-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
2016-06-15 09:32 - 2016-06-15 09:32 - 03458168 _____ C:\Documents and Settings\Admin\Application Data\CONFIRMATION.KEY
2016-06-15 09:32 - 2016-06-15 09:32 - 00004289 _____ C:\VAULT.hta
2016-06-15 09:32 - 2016-06-15 09:32 - 00004289 _____ C:\Documents and Settings\Admin\Рабочий стол\VAULT.hta
2016-06-15 09:32 - 2016-06-15 09:32 - 00004289 _____ C:\Documents and Settings\Admin\Application Data\VAULT.hta
2016-06-15 09:32 - 2016-06-15 09:32 - 00001615 _____ C:\VAULT.KEY
2016-06-15 09:32 - 2016-06-15 09:32 - 00001615 _____ C:\Documents and Settings\Admin\Рабочий стол\VAULT.KEY
2016-06-15 09:32 - 2016-06-15 09:32 - 00001615 _____ C:\Documents and Settings\Admin\Application Data\VAULT.KEY
Task: C:\WINDOWS\Tasks\MailRuUpdateTask.job => C:\Documents and Settings\Admin\Local Settings\Application Data\Mail.Ru\MailRuUpdater.exe/scheduler C:\Documents and Settings\Admin\Local Settings\Application Data\Mail.Ru
HKU\S-1-5-21-1801674531-1960408961-682003330-500\Software\Classes\.scr: scrfile =>  <===== ATTENTION
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Vladimir Borischuk]

Прокси в Мозилле настраивали самостоятельно?

 

 

Включите Восстановление системы.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-1801674531-1960408961-682003330-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
2016-06-15 09:32 - 2016-06-15 09:32 - 03458168 _____ C:\Documents and Settings\Admin\Application Data\CONFIRMATION.KEY
2016-06-15 09:32 - 2016-06-15 09:32 - 00004289 _____ C:\VAULT.hta
2016-06-15 09:32 - 2016-06-15 09:32 - 00004289 _____ C:\Documents and Settings\Admin\Рабочий стол\VAULT.hta
2016-06-15 09:32 - 2016-06-15 09:32 - 00004289 _____ C:\Documents and Settings\Admin\Application Data\VAULT.hta
2016-06-15 09:32 - 2016-06-15 09:32 - 00001615 _____ C:\VAULT.KEY
2016-06-15 09:32 - 2016-06-15 09:32 - 00001615 _____ C:\Documents and Settings\Admin\Рабочий стол\VAULT.KEY
2016-06-15 09:32 - 2016-06-15 09:32 - 00001615 _____ C:\Documents and Settings\Admin\Application Data\VAULT.KEY
Task: C:\WINDOWS\Tasks\MailRuUpdateTask.job => C:\Documents and Settings\Admin\Local Settings\Application Data\Mail.Ru\MailRuUpdater.exe/scheduler C:\Documents and Settings\Admin\Local Settings\Application Data\Mail.Ru
HKU\S-1-5-21-1801674531-1960408961-682003330-500\Software\Classes\.scr: scrfile =>  <===== ATTENTION
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Я не силен в компьютерах и в ПО. Возможно что-то когда-то настроил в мозиле, чтобы не мешали картинки с рекламой на разных сайтах (в частности на "Фишках.нет") и то строго по инструкции из интернета ))

Fixlog.txt

[Sandor]

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

 

Антивирус Касперского 6.0 для Windows Workstations (Version: 6.0.4.1424 - Лаборатория Касперского) Версия устарела и не поддерживается.

Обновляйтесь до KES10.