Шифровальщик vault

[Жданов Михаил]

Добрый день! Бухгалтер поймала шифровальщик vault, большинство файлов стало с таким расширением. Видимо вовремя перезагрузила, потому что зашифровалось не всё (то есть в работе вируса не предусмотрено отключение питания). Текст сообщения не сохранился, потому что никаких .txt файлов не было и в помине, а вирус я сразу вычистил не читая. 

Есть и vault.key, и confirmation.key.

Есть оригиналы парочки зашифрованных файлов, поможет ли это в решении проблемы?

Не нашел подробной инструкции, какие именно файлы и логи нужно Вам присылать, поэтому прошу помощи здесь.

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Жданов Михаил]

Выполнено.

CollectionLog-2016.09.21-09.20.zip

[Жданов Михаил]

Просьба ответить. Прошло уже более суток.

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Time tasks

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/cnt/10445?gp=821272
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=99919932_hao_pg
O2 - BHO: (no name) - AutorunsDisabled - (no file)

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Жданов Михаил]

Выполнено. 

ClearLNK-22.09.2016_17-05.log

Shortcut.txt

FRST.txt

Addition.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR Extension: (Mail.Ru) - C:\Users\Людмила\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgcifljfapbhgiehkjlckfjmgeojijcb [2016-05-23]
CHR Extension: (Mail.Ru) - C:\Users\Людмила\AppData\Local\Google\Chrome\User Data\Default\Extensions\eioddfaepdoeifbhjphfefgipcjcdieo [2016-05-23]
CHR Extension: (The Safe Surfing) - C:\Users\Людмила\AppData\Local\Google\Chrome\User Data\Default\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2016-09-22]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Людмила\AppData\Local\Google\Chrome\User Data\Default\Extensions\lbjjfiihgfegniolckphpnfaokdkbmdm [2016-05-23]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Людмила\AppData\Local\Google\Chrome\User Data\Default\Extensions\ppoilmfkbpckodoifdlkmkepcajfjmhl [2016-05-23]
OPR Extension: (The Safe Surfing) - C:\Users\Людмила\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2016-01-11]
S3 TSSK; C:\Windows\System32\tssk.sys [67896 2015-12-23] (电脑管家)
S1 QMUdisk; \??\C:\Program Files\Tencent\QQPCMgr\11.1.16908.217\QMUdisk.sys [X]
S1 softaal; \??\C:\Program Files\Tencent\QQPCMgr\11.1.16908.217\softaal.sys [X]
2016-09-20 13:37 - 2016-09-20 13:37 - 00509310 _____ C:\Users\Людмила\AppData\Roaming\CONFIRMATION.KEY
2016-09-20 13:37 - 2016-09-20 13:37 - 00001609 _____ C:\VAULT.KEY
2016-09-20 13:37 - 2016-09-20 13:37 - 00001609 _____ C:\Users\Людмила\Desktop\VAULT.KEY
2016-09-20 13:37 - 2016-09-20 13:37 - 00001609 _____ C:\Users\Людмила\AppData\Roaming\VAULT.KEY
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
FirewallRules: [{52BA8761-4D5C-429F-9F8A-F74F4D94B9FD}] => (Allow) C:\program files\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{41FA3A5E-F017-42FE-B620-2EAE8BF0497F}] => (Allow) C:\program files\common files\tencent\qqdownload\130\tencentdl.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

При сохранении выберите кодировку Юникод!

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Жданов Михаил]

Готово.

Fixlog.txt

[Sandor]

Адварь и следы вымогателя очищены.

 

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

[Андрей Викторович]

Здравствуйте , у меня похожая ситуация, только на экране ничего не появилось. Файлы зашифровались word, pdf, xls , остальное всё работает, видимо не полностью заразился. Установлен XP, на момент заражения стоял только нод 32, можно ли изменить расширение зашифрованных файлов?

[Sandor]

@Андрей Викторович, создайте свою тему и выполните Порядок оформления запроса о помощи