Просьба расшифровки файлов (DA_VINCHI)

[Санни Хилс]

Доброго дня. При работающем лицензионном Kaspersky Total Cecurity юзер прошел по присланной в письме ссылке:

 

По все видимости поймал шифровальщик, который закодировал файлы с расширениями документов  MS Office, *.pdf, картинками и пр.

Чуть позже (со слов юзера) антивирус отработал и приступил к лечению, но много информации было закодировано.

 

Прилагаю логи, письмо злоумышленника и пару закодированных файлов. Надеюсь на помошь в раскодировке. Спасибо!

 

Строгое предупреждение от модератора Mark D. Pearlstone

Не отправляйте на форум ссылки на вредоносные и потенциально вредоносные файлы.

CollectionLog-2016.11.12-15.37.zip

README1.txt

Новое в бух учете УСН.rar

[SQ]

Здравствуйте,

Знакома ли Вам?

c:\documents and settings\user\0.03435210558840507.exe

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DelBHO('{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}');
 DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
 QuarantineFile('c:\documents and settings\user\0.03435210558840507.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Санни Хилс]

c:\documents and settings\user\0.03435210558840507.exe

1. Нет, такую не знаю. Такого файла в этом месте на машине не вижу.

 

2. В карантине нет файлов (quarantine.zip из папки AVZ  - пустой), очевидно удалены антивирусом, запрос на исследование вредоносного файла почту newvirus@kaspersky.com отправлять не стал.

3. Файлы, созданные  Farbar Recovery Scan Tool  прикрепляю.

 

 

 

Addition.txt

FRST.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  HKLM\...\Run: [] => [X]
  HKU\S-1-5-21-854245398-616249376-1417001333-1003\...\Winlogon: [Shell] c:\documents and settings\user\0.03435210558840507.exe <==== ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
  Toolbar: HKU\S-1-5-21-854245398-616249376-1417001333-1003 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
  2016-11-09 19:09 - 2016-11-10 09:41 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Csrss
  2016-11-09 19:08 - 2016-11-09 19:08 - 05292054 _____ C:\Documents and Settings\User\Application Data\3F355F603F355F60.bmp
  2016-11-09 15:13 - 2016-11-10 09:49 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
  2016-11-09 19:08 - 2016-11-09 19:08 - 5292054 _____ () C:\Documents and Settings\User\Application Data\3F355F603F355F60.bmp
  C:\Documents and Settings\User\Local Settings\Temp\31C.exe
  File: C:\WINDOWS\system32\winlogon.exe
  Zip: C:\WINDOWS\system32\winlogon.exe
  MSCONFIG\startupreg: S034171 => c:\documents and settings\user\0.03435210558840507.exe
  MSCONFIG\startupreg: S10079139 => c:\documents and settings\user\0.03435210558840507.exe
  MSCONFIG\startupreg: S102532 => c:\documents and settings\user\0.03435210558840507.exe
  MSCONFIG\startupreg: S1148540 => c:\documents and settings\user\0.03435210558840507.exe
  MSCONFIG\startupreg: S119135199 => c:\documents and settings\user\0.03435210558840507.exe
  MSCONFIG\startupreg: S12013881 => c:\documents and settings\user\0.03435210558840507.exe
  MSCONFIG\startupreg: S12790177 => c:\documents and settings\user\0.03435210558840507.exe
  MSCONFIG\startupreg: S14418168 => c:\documents and settings\user\0.03435210558840507.exe
  MSCONFIG\startupreg: S15018152 => c:\documents and settings\user\0.03435210558840507.exe
  MSCONFIG\startupreg: S1516234 => c:\documents and settings\user\0.03435210558840507.exe
  MSCONFIG\startupreg: S165126173 => c:\documents and settings\user\0.03435210558840507.exe
  MSCONFIG\startupreg: S16918414 => c:\documents and settings\user\0.03435210558840507.exe
  MSCONFIG\startupreg: S1713667 => c:\documents and settings\user\0.03435210558840507.exe
  MSCONFIG\startupreg: S1753582 => c:\documents and settings\user\0.03435210558840507.exe
  MSCONFIG\startupreg: S194131137 => c:\documents and settings\user\0.03435210558840507.exe
  MSCONFIG\startupreg: S501772 => c:\documents and settings\user\0.03435210558840507.exe
  MSCONFIG\startupreg: S548629 => c:\documents and settings\user\0.03435210558840507.exe
  MSCONFIG\startupreg: S58197182 => c:\documents and settings\user\0.03435210558840507.exe
  MSCONFIG\startupreg: S68144110 => c:\documents and settings\user\0.03435210558840507.exe
  MSCONFIG\startupreg: S702367 => c:\documents and settings\user\0.03435210558840507.exe
  MSCONFIG\startupreg: S73195125 => c:\documents and settings\user\0.03435210558840507.exe
  MSCONFIG\startupreg: S79106 => c:\documents and settings\user\0.03435210558840507.exe
  MSCONFIG\startupreg: S79129171 => c:\documents and settings\user\0.03435210558840507.exe
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

 

Файл Upload.zip с рабочего стола отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

[Санни Хилс]

Прикрепляю файл Fixlog.txt

 

Файл, созданный FRST направил по адресу newvirus@kaspersky.com

Fixlog.txt

[SQ]

Прикрепляю файл Fixlog.txt

 

Файл, созданный FRST направил по адресу newvirus@kaspersky.com

Сообщите результат, т.к. у системного файла "winlogon.exe" отсутствует цифровая подпись если вероятность, что он модифицирован.

 

В случае, если у Вас ОС лицензионная, то покажите результат следующей команды в командной строке (cmd.exe) в привилегированном режиме (Run as Administrator), иначе проигнорируйте:

sfc /scannow

Подробнее:https://support.microsoft.com/ru-ru/kb/929833

[Санни Хилс]

KLAN-5336498915

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

winlogon.exe

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

[SQ]

С расшифровкой не поможем.