Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Зашифрован файл .kukaracha [Unlock92 Ransomware]

AleksandrTomsk
 Поделиться

Рекомендуемые сообщения

AleksandrTomsk

AleksandrTomsk

Опубликовано
Опубликовано

Вирус создал кучу файлов с раширением <имя файла>.<расширение файла>.kukaracha В автозагрузке появилась новая задача keycode с адресом C:\Users\User\AppData\microsoft\windows\start menu\programs\startup. Папка вместе с файлом была удалена.

Прикрепляю файлы появившиеся рядом с зашифрованными файлами и зашифрованный файл

 

virus.rar

mike 1

mike 1

Опубликовано
Опубликовано

Никаких.

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\RunOnce: [{2BA5BB1A-8D89-4822-AC9E-505DFFC1FDB5}] => cmd.exe /C start /D "C:\Users\User\AppData\Local\Temp" /B {2BA5BB1A-8D89-4822-AC9E-505DFFC1FDB5}.cmd
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyScripts-x32: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1483086494-1364428964-2930737664-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1410770998&from=sky&uid=ST1000LM024XHN-M101MBB_S2SMJ9ED435322&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1410770998&from=sky&uid=ST1000LM024XHN-M101MBB_S2SMJ9ED435322&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1410770998&from=sky&uid=ST1000LM024XHN-M101MBB_S2SMJ9ED435322
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1410770998&from=sky&uid=ST1000LM024XHN-M101MBB_S2SMJ9ED435322
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1410770998&from=sky&uid=ST1000LM024XHN-M101MBB_S2SMJ9ED435322&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1410770998&from=sky&uid=ST1000LM024XHN-M101MBB_S2SMJ9ED435322&q={searchTerms}
HKU\S-1-5-21-1483086494-1364428964-2930737664-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1410770998&from=sky&uid=ST1000LM024XHN-M101MBB_S2SMJ9ED435322
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1410770998&from=sky&uid=ST1000LM024XHN-M101MBB_S2SMJ9ED435322
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2016-12-02]
FF Extension: (SuperMegaBest.com) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2014-05-05] [not signed]
FF Extension: (Site Navigation) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24782}.xpi [2014-09-09] [not signed]
CHR Extension: (Ads Killer) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\jjckigopagkhaikodedjnmbccfpnmiea [2016-12-02]
CHR Extension: (News Tab) - C:\Users\User\AppData\Local\Google\Chrome\User Data\DFLTUSER\Extensions\jolakggdcbngpflcjfaencffnenhlddl [2016-12-02]
CHR Extension: (No Name) - C:\Users\User\AppData\Local\Google\Chrome\User Data\DFLTUSER\Extensions\mfgdmpfihlmdekaclngibpjhdebndhdj [2016-12-02]
CHR Extension: (Домашняя страница – Mail.Ru) - C:\Users\User\AppData\Local\Google\Chrome\User Data\DFLTUSER\Extensions\pldbienodkpgkccocelidinmciedjdok [2016-12-02]
OPR Extension: (SuperMegaBest - find best prices) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\cbbpicnbcjaeeenbmilcnaojfgnmlhhb [2016-12-02]
OPR Extension: (News Tab) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\jolakggdcbngpflcjfaencffnenhlddl [2016-12-02]
OPR Extension: (No Name) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfgdmpfihlmdekaclngibpjhdebndhdj [2016-12-02]
S1 {a3f28269-ad17-41a8-b032-3e0313ef8979}w64; system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w64.sys [X]
2016-12-02 11:40 - 2016-12-02 11:40 - 00002823 _____ C:\Windows\Tasks\keycode.tta
2016-12-02 11:40 - 2016-12-02 11:40 - 00002823 _____ C:\Windows\System32\Tasks\keycode.tta
Task: {1DB639AD-AFDB-44AA-99B9-6EFBAB4AF179} - \Microsoft\Windows\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
Task: {235E9FFA-0562-4094-8E93-4AF2F082D868} - \{7119EB0A-17FD-46EC-96B9-54D73E363745} -> No File <==== ATTENTION
Task: {607ACB26-FD16-4ED1-9E99-8C90FC41E29F} - \{BD943A0C-2140-4B80-BAEE-9F2DE9CC18E7} -> No File <==== ATTENTION
Task: {6B62678A-2A4F-403D-AECB-D47352926C09} - \{6E7D792A-299B-46A5-82EC-0455382B131C} -> No File <==== ATTENTION
Task: {9154A24F-0EF3-4A85-A7B2-7399356EEE96} - System32\Tasks\{22DB71B5-11A3-41E9-9511-1BBB3489088B} => C:\Program Files (x86)\Common Files\AppDownloads\{22DB71B5-11A3-41E9-9511-1BBB3489088B}.exe <==== ATTENTION
Task: {93E14995-8F27-4A81-8D51-A1E87F5F0B45} - \KRB Updater Utility -> No File <==== ATTENTION
Task: {9CC2CC21-EE07-469A-8206-ECC75829F551} - \{E2A0BAA3-DAFD-4CB7-90C5-A46937D7BC3E} -> No File <==== ATTENTION
Task: {ABDDC31E-2809-4BB5-9E92-0778B504CB1B} - \{7809B227-D04B-4409-B09A-5582C5D37B60} -> No File <==== ATTENTION
Task: {EFEFBCB8-5E66-4787-9F0B-F77F4D0F164E} - \{BDE90F28-0EBF-4F47-BCCD-9790F7BDAE5E} -> No File <==== ATTENTION
Task: {FE17B6EF-9141-46D3-987C-9CB0C6F2E87E} - \{4A87A418-667A-4827-893C-7E370AD7CBD8} -> No File <==== ATTENTION
MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^KRB Updater Utility.lnk => C:\Windows\pss\KRB Updater Utility.lnk.CommonStartup
MSCONFIG\startupfolder: C:^Users^User^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^--------ПРОЧТИ МЕНЯ--------.txt => C:\Windows\pss\--------ПРОЧТИ МЕНЯ--------.txt.Startup
MSCONFIG\startupfolder: C:^Users^User^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^AppDownloads.lnk => C:\Windows\pss\AppDownloads.lnk.Startup
MSCONFIG\startupfolder: C:^Users^User^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^keycode.tta => C:\Windows\pss\keycode.tta.Startup
FirewallRules: [{2BDFD585-B482-4649-90B3-A1C391676A95}] => C:\Program Files\UBar\ubar.exe
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
AleksandrTomsk

AleksandrTomsk

Опубликовано
  • Автор
Опубликовано

Все сделал по инструкции, но компьютер не перезагрузился. Но файл создал

Fixlog.txt

AleksandrTomsk

AleksandrTomsk

Опубликовано
  • Автор
Опубликовано (изменено)

В файл все сохранил, при запуске FRST выскакивает ошибка Failed to update(1)

Изменено пользователем AleksandrTomsk
mike 1

mike 1

Опубликовано
Опубликовано

Не сохранили. Я вижу это потому логу, который вы прикрепили.

AleksandrTomsk

AleksandrTomsk

Опубликовано
  • Автор
Опубликовано

Все получилось только после перезагрузки ПК (до перезагрузки FRST просто ругался на файл fixlist.txt)

Fixlog.txt

AleksandrTomsk

AleksandrTomsk

Опубликовано
  • Автор
Опубликовано

С расшифровкой не поможем.

Очень жаль, но огромное спасибо Вам за уделенное время

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • grimm705x
      Шифровальщик Kukaracha под Новый год пришёл
      Автор grimm705x
      Добрый день!
      Ситуация типичная, сотрудница получила письмо на почту mail.ru, естественно, открыла его. После чего к расширению всех файлов прибавилось ".kukaracha."
      Каперский отреагировал поздно и обнаружил:
      10 файлов Trojan.Win32.Agentb.adkr
      39 файлов not-a-virus:HEUR:AdWare.Script.Generic
      2 файла UDS:DangerousObject.Multi.Generic
      1 файл not-a-virus:HEUR:AdWare.Win32.ELEX.gen
      Далее, прошелся по Вашему порядку оформления запроса о помощи
      Скачал Kaspersky Virus Removal Tool 2015
      Отключил касперского free
      Запустил KVRT2015 и выполнил проверку. Результат таков: 
      not-a-virus:HEUR:RiskTool.Win32.Generic Файл: C:\Users\User\AdobeChecker.exe Легальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя     MD5:  155FCE01FA0C8477B20C1CD5A2763D87     SHA256:  9C5BF431DB30BF3B53E1C94F84E5FF04ED1C15E06009EF8BD4818FB58936795E Следующим шагом собрал логи. Вот и всё. Помогите, пожалуйста. CollectionLog-2016.12.24-15.22.zip залил на хостинг. Здесь ошибку IO при загрузке выдаёт   report1.log
      report2.log
    • Дмитрий Тахтараков
      "KUKARACHA" попортил файлы
      Автор Дмитрий Тахтараков
      Данный вирус посетил один из компьютеров( 
       
       
      текст сообщения: 
      Ваши файлы зашифрованы с использованием криптостойкого алгоритма RSA-2048.  Если хотите их вернуть отправьте один из зашифрованных файлов и файл keycode.tta на e-mail: unlock92@india.com  Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.con браузер  TOR и с его помощью зайдите на сайт: http://ezulxxtwqos5g736.onion-  там будет указан действующий почтовый ящик.  Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!   CollectionLog-2016.12.21-17.42.zip
    • sirius
      kukaracha зашифровала файлы
      Автор sirius
      Пришла дрянь по почте, открыли и заразили комп шифровальщиком. Все файлы имеют расширение kukaracha, содержимое зашифровано. 
      Во всех папках лежат файлы прочти меня с текстом
      Ваши файлы зашифрованы с использованием криптостойкого алгоритма RSA-2048.  Если хотите их вернуть отправьте один из зашифрованных файлов и файл keycode.tta на e-mail: unlock92@india.com  Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.con браузер  TOR и с его помощью зайдите на сайт: http://ezulxxtwqos5g736.onion-  там будет указан действующий почтовый ящик.  Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!

      Ребятки требуют 150$ биткоинами. Хел чего делать?
      Во вложении архив в нем пример зашифрованного файла и расшифрованного. Addition.txt
      FRST.txt
      123.zip
    • Sonyk
      Вирус-шифровальщик. расширение "KUKARACHA" попортил файлы.
      Автор Sonyk
      Здравствуйте.
           Поймали вирус- шифровальщик с расширением  «kukaracha».
       Находился в письме. Один из сотрудников его запустил((( Им были изменены все текстовые, фото и архивные файлы. Теперь они выглядят примерно так : Водяные лилии.jpg.kukaracha
      При запуске Экселя, попутно открывается еще несколько окон в одном из них послание от вымогателей:
         Ваши файлы зашифрованы с использованием криптостойкого алгоритма RSA-2048. Если хотите их вернуть отправьте один из зашифрованных файлов и файл keycode.tta на e-mail: unlock92@india.com Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.con браузер  TOR и с его помощью зайдите на сайт:http://ezulxxtwqos5g736.onion-  там будет указан действующий почтовый ящик. Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!
       Платить не стали, но поинтересовались ценой расшифровщика, на что получили такой ответ:
       Программа для восстановления данных стоит 0.26 биткоина. Это порядка $120.Ключ дешифровки существует семь дней. После его удаления восстановление файлов будет невозможно.В доказательство они расшифровали один из отосланных нами фаилов.(((((
       Просьба подсказать или помочь в избавлении от этой «бяки»
      Addition.txt
      Check_Browsers_LNK.log
      CollectionLog-2016.12.16-10.18.zip
      FRST.txt
    • LEN74
      шифровальщик с расширением "KUKARACHA" (.kukaracha)
      Автор LEN74
      Здравствуйте
      поймали вирус-шифровальщик, ( пришло письмо на почту вложенный файл оказался с расширением js., 
      файлы зашифрованы "KUKARACHA" (.kukaracha)
      при запуске компьютера открывается текстовый документ "ПРОЧТИ МЕНЯ",  след. содержания:
       
      Ваши файлы зашифрованы с использованием криптостойкого алгоритма RSA-2048.
      Если хотите их вернуть отправьте один из зашифрованных файлов и файл keycode.tta на e-mail: unlock92@india.com
      Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.con браузер  TOR и с его помощью зайдите на сайт:
      http://ezulxxtwqos5g736.onion-  там будет указан действующий почтовый ящик.
      Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!
       
      проверкой  Kaspersky Virus Removal Tool 2015 обнаружен вирус:
      Trojan-Ransom.Win32.Scatter.lb
      Файл: C:\Users\Админ\AppData\Local\Temp\cmss.exe
      Троянская программа
          MD5:  6BEE511C779649A7FE989AED8B685268
          SHA256:  CF914E64A00E27CE5532082BCE518627412FC30E09FA5ED34270F17945CC9211
       
      платить не стали, хотя утеряны доки за 10 лет , почитала на форумах, что расшифровать не получится, тем более что один "спец" уже попробовал сам лечить, в итоге предложили переустановить систему,
      но некоторые файлы не за шифровались, и программки работают, например бизнес-пак, а у нас там документы с 2006года. Точки восстановления системы нет, флешка с базами и сохраненными доками тоже закукарачилась (как раз когда шифровальщик активировался с флешкой работали) Есть старая флешка но на ней инфа трехлетней давности, поэтому не хочется сносить систему, заражение было 02.12.16, после этого на компе делали новые документы - те что в ворде и JPEG не защифровываются, а в эхl когда открываются паралельно открывается еще два табличных документа с каракулями, но основной не изменяется.
       
      Подскажите как  почистить комп чтобы удалить все вирусы и  сохранить не поврежденную информацию. и есть ли возможность как то сохранить файлы - может через какое то время появится возможность их расшифровать. Проверку KVRT сделала но вирус ещё не удаляла
      CollectionLog-2016.12.13-12.31.zip
×
×
  • Создать...