Шифровальщик ISHTAR

[Dima321]

Здравствуйте

 

Словили ISHTAR на компьютере, все документы и фото оказались зашифрованы. Есть возможность из расшифровать? Зловред удален.

 

 

CollectionLog-2016.12.02-21.49.zip

[SQ]

Здравствуйте,

 

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DelBHO('{09900DE8-1DCA-443F-9243-26FF581438AF}');
 DelBHO('{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}');
 StopService('qknfd');
 StopService('BAPIDRV');
 DeleteService('qknfd');
 DeleteService('BAPIDRV');
 QuarantineFile('C:\Windows\system32\drivers\qknfd.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\BAPIDRV.sys','');
 DeleteFile('C:\Windows\system32\drivers\qknfd.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV.sys','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Dima321]

Требуемые файлы.

 

Спасибо вам

 

Addition.txt

FRST.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  GroupPolicy: Restriction - Chrome <======= ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
  FF HKLM\...\Firefox\Extensions: [quiknowledge@quiknowledge.com] - C:\Program Files\Mozilla Firefox\extensions\quiknowledge@quiknowledge.com => not found
  FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => not found
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  CHR Extension: (No Name) - C:\Users\Галина\AppData\Local\Google\Chrome\User Data\Default\Extensions\aonedlchkbicmhepimiahfalheedjgbh [2016-09-20]
  CHR Extension: (No Name) - C:\Users\Галина\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-09-12]
  CHR HKLM\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\Галина\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx <not found>
  CHR HKU\S-1-5-21-1042587726-3143261282-1058292299-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
  CHR HKU\S-1-5-21-1042587726-3143261282-1058292299-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
  CHR HKU\S-1-5-21-1042587726-3143261282-1058292299-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
  CHR HKU\S-1-5-21-1042587726-3143261282-1058292299-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
  Zip: C:\Users\Галина\AppData\Roaming\Счет на оплату за прошлый период согласовано главным бухгалтером_17.tmp
  2016-12-01 22:36 - 2016-12-01 22:38 - 00000011 _____ C:\Users\Галина\AppData\Roaming\~mCD012A5B2799.tmp
  2016-12-01 22:36 - 2016-12-01 22:38 - 00000000 _____ C:\Users\Галина\AppData\Roaming\~m383E4CDD4180.tmp
  2016-12-01 19:27 - 2016-12-01 22:36 - 00003235 _____ C:\Users\Галина\AppData\Roaming\ISHTAR.DATA
  2016-12-01 19:27 - 2016-12-01 19:27 - 00001830 _____ C:\Users\Галина\AppData\Roaming\README-ISHTAR.txt
  2016-12-01 19:18 - 2016-12-01 19:18 - 01183772 _____ C:\Users\Галина\AppData\Roaming\W11M7q01.tmp
  2016-12-01 19:17 - 2016-12-01 19:20 - 01183772 _____ C:\Users\Галина\AppData\Roaming\Счет на оплату за прошлый период согласовано главным бухгалтером_17.tmp
  2016-12-01 19:31 - 2014-01-09 00:05 - 00000787 _____ C:\Users\Галина\ISHTAR-daemonprocess.txt
  2016-12-01 19:27 - 2016-12-01 22:36 - 0003235 _____ () C:\Users\Галина\AppData\Roaming\ISHTAR.DATA
  2016-12-01 19:27 - 2016-12-01 19:27 - 0001830 _____ () C:\Users\Галина\AppData\Roaming\README-ISHTAR.txt
  2013-11-24 23:56 - 2013-11-24 23:56 - 0000006 _____ () C:\Users\Галина\AppData\Roaming\smw_inst
  2016-12-01 19:18 - 2016-12-01 19:18 - 1183772 _____ () C:\Users\Галина\AppData\Roaming\W11M7q01.tmp
  2016-12-01 22:36 - 2016-12-01 22:38 - 0000000 _____ () C:\Users\Галина\AppData\Roaming\~m383E4CDD4180.tmp
  2016-12-01 22:36 - 2016-12-01 22:38 - 0000011 _____ () C:\Users\Галина\AppData\Roaming\~mCD012A5B2799.tmp
  2016-12-01 19:17 - 2016-12-01 19:20 - 1183772 _____ () C:\Users\Галина\AppData\Roaming\Счет на оплату за прошлый период согласовано главным бухгалтером_17.tmp
  C:\Users\Галина\AppData\Local\Temp\kis_setup.exe
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

 

Upload.zip (в некоторых случаях <дата>_<время>.zip) с рабочего стола отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

[Dima321]

Письмо по адресу newvirus@kaspersky.com отправлено

 

 

Re: Запрос на исследование вредоносного файла [KLAN-5444743384]

 

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
æτÑΓ ¡á «»½áΓπ ºá »α«Φ½δ⌐ »Ñα¿«ñ ß«ú½áß«óá¡« ú½áó¡δ¼ íπσúá½ΓÑα«¼_17.tmp

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Fixlog.txt

[SQ]

Пробуйте обратиться, если имеется лицензия на продукты Лаборатории Касперского: https://forum.kasperskyclub.ru/index.php?showtopic=48525

P.S. Важно не удаляйте каталог C:\FRST (карантин) не удаляйте пока не решите вопрос с расшифровкой.

[Dima321]

Спасибо за помощь. Если нужно, могу переслать письмо, через которое произошло заражение

Запрос в поддержку создал.

 

Еще раз спасибо

[SQ]

Отправьте пожалуйста личным сообщением.

[Dima321]

Нашел архив с вирусом-шифровальщиком, которым было заражение. Отправил в Kaspersky Lab Support.

 

Вам архив с вирусом нужен? Если да, как его вам прислать, в ЛС не нашел как файл прикрепить

[SQ]

Вам архив с вирусом нужен? Если да, как его вам прислать, в ЛС не нашел как файл прикрепить

Спасибо, мне не нужен, так как достаточно было отправить вредоносное ПО в Лабораторию Касперского.