Перейти к содержанию

Шифровальщик ISHTAR


Рекомендуемые сообщения

Здравствуйте

 

Словили ISHTAR на компьютере, все документы и фото оказались зашифрованы. Есть возможность из расшифровать? Зловред удален.

 

 

CollectionLog-2016.12.02-21.49.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,

 

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DelBHO('{09900DE8-1DCA-443F-9243-26FF581438AF}');
 DelBHO('{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}');
 StopService('qknfd');
 StopService('BAPIDRV');
 DeleteService('qknfd');
 DeleteService('BAPIDRV');
 QuarantineFile('C:\Windows\system32\drivers\qknfd.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\BAPIDRV.sys','');
 DeleteFile('C:\Windows\system32\drivers\qknfd.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV.sys','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
    CloseProcesses:
    GroupPolicy: Restriction - Chrome <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
    FF HKLM\...\Firefox\Extensions: [quiknowledge@quiknowledge.com] - C:\Program Files\Mozilla Firefox\extensions\quiknowledge@quiknowledge.com => not found
    FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => not found
    FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
    CHR Extension: (No Name) - C:\Users\Галина\AppData\Local\Google\Chrome\User Data\Default\Extensions\aonedlchkbicmhepimiahfalheedjgbh [2016-09-20]
    CHR Extension: (No Name) - C:\Users\Галина\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-09-12]
    CHR HKLM\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\Галина\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx <not found>
    CHR HKU\S-1-5-21-1042587726-3143261282-1058292299-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-1042587726-3143261282-1058292299-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-1042587726-3143261282-1058292299-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-1042587726-3143261282-1058292299-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
    Zip: C:\Users\Галина\AppData\Roaming\Счет на оплату за прошлый период согласовано главным бухгалтером_17.tmp
    2016-12-01 22:36 - 2016-12-01 22:38 - 00000011 _____ C:\Users\Галина\AppData\Roaming\~mCD012A5B2799.tmp
    2016-12-01 22:36 - 2016-12-01 22:38 - 00000000 _____ C:\Users\Галина\AppData\Roaming\~m383E4CDD4180.tmp
    2016-12-01 19:27 - 2016-12-01 22:36 - 00003235 _____ C:\Users\Галина\AppData\Roaming\ISHTAR.DATA
    2016-12-01 19:27 - 2016-12-01 19:27 - 00001830 _____ C:\Users\Галина\AppData\Roaming\README-ISHTAR.txt
    2016-12-01 19:18 - 2016-12-01 19:18 - 01183772 _____ C:\Users\Галина\AppData\Roaming\W11M7q01.tmp
    2016-12-01 19:17 - 2016-12-01 19:20 - 01183772 _____ C:\Users\Галина\AppData\Roaming\Счет на оплату за прошлый период согласовано главным бухгалтером_17.tmp
    2016-12-01 19:31 - 2014-01-09 00:05 - 00000787 _____ C:\Users\Галина\ISHTAR-daemonprocess.txt
    2016-12-01 19:27 - 2016-12-01 22:36 - 0003235 _____ () C:\Users\Галина\AppData\Roaming\ISHTAR.DATA
    2016-12-01 19:27 - 2016-12-01 19:27 - 0001830 _____ () C:\Users\Галина\AppData\Roaming\README-ISHTAR.txt
    2013-11-24 23:56 - 2013-11-24 23:56 - 0000006 _____ () C:\Users\Галина\AppData\Roaming\smw_inst
    2016-12-01 19:18 - 2016-12-01 19:18 - 1183772 _____ () C:\Users\Галина\AppData\Roaming\W11M7q01.tmp
    2016-12-01 22:36 - 2016-12-01 22:38 - 0000000 _____ () C:\Users\Галина\AppData\Roaming\~m383E4CDD4180.tmp
    2016-12-01 22:36 - 2016-12-01 22:38 - 0000011 _____ () C:\Users\Галина\AppData\Roaming\~mCD012A5B2799.tmp
    2016-12-01 19:17 - 2016-12-01 19:20 - 1183772 _____ () C:\Users\Галина\AppData\Roaming\Счет на оплату за прошлый период согласовано главным бухгалтером_17.tmp
    C:\Users\Галина\AppData\Local\Temp\kis_setup.exe
    Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

 

Upload.zip (в некоторых случаях <дата>_<время>.zip) с рабочего стола отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

Ссылка на комментарий
Поделиться на другие сайты

Письмо по адресу newvirus@kaspersky.com отправлено


 
 
Re: Запрос на исследование вредоносного файла [KLAN-5444743384]
 
Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
æτÑΓ ¡á «»½áΓπ ºá »α«Φ½δ⌐ »Ñα¿«ñ ß«ú½áß«óá¡« ú½áó¡δ¼ íπσúá½ΓÑα«¼_17.tmp

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пробуйте обратиться, если имеется лицензия на продукты Лаборатории Касперского: https://forum.kasperskyclub.ru/index.php?showtopic=48525

P.S. Важно не удаляйте каталог C:\FRST (карантин) не удаляйте пока не решите вопрос с расшифровкой.

Ссылка на комментарий
Поделиться на другие сайты

Спасибо за помощь. Если нужно, могу переслать письмо, через которое произошло заражение


Запрос в поддержку создал.

 

Еще раз спасибо

Ссылка на комментарий
Поделиться на другие сайты

Нашел архив с вирусом-шифровальщиком, которым было заражение. Отправил в Kaspersky Lab Support.

 

Вам архив с вирусом нужен? Если да, как его вам прислать, в ЛС не нашел как файл прикрепить

Ссылка на комментарий
Поделиться на другие сайты

Вам архив с вирусом нужен? Если да, как его вам прислать, в ЛС не нашел как файл прикрепить

Спасибо, мне не нужен, так как достаточно было отправить вредоносное ПО в Лабораторию Касперского.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Владлена Чуева
      От Владлена Чуева
      Здравствуйте. прошло 4 года, как по глупости поймала вирус ISHTAR. не теряю надежды, что умы найдут способ расшифровать файлы. Подскажите, где найти дешифратор?
    • Дмитрий9409075
      От Дмитрий9409075
      Открыл письмо с  файлом ексель, после чего произошло заражение компьютера. Все файлы переименованы с добавлением  слова "ISHTAR-"имя файла"".
      На рабочем столе README-ISHTAR с содержимым:
      # ---------------------------------------------------------------------------------------------------------------------------- # ДЛЯ РАСШИФРОВКИ ФАЙЛОВ ОБРАТИТЕСЬ НА ПОЧТУ support4you@protonmail.com # ЛИБО НА  # BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV ИСПОЛЬЗУЯ BITMESSAGE DESKTOP ИЛИ https://bitmsg.me/ # ---------------------------------------------------------------------------------------------------------------------------- #  # БАЗОВЫЕ ТЕХНИЧЕСКИЕ ДЕТАЛИ: # > Стандартный порядок шифрования: AES 256 + RSA 2048.  # > Для каждого файла создается уникальный AES ключ. # > Расшифровка невозможна без файла ISHTAR.DATA (см. директорию %APPDATA%). # # ----------------------------------------------------------------------------------------------------------------------------     # ---------------------------------------------------------------------------------------------------------------------------- # TO DECRYPT YOUR FILES PLEASE WRITE TO support4you@protonmail.com # OR TO  # BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV USING BITMESSAGE DESKTOP OR https://bitmsg.me/ # ---------------------------------------------------------------------------------------------------------------------------- # # BASIC TECHNICAL DETAILS: # > Standart encryption routine: AES 256 + RSA 2048. # > Every AES key is unique per file. # > Decryption is impossible without ISHTAR.DATA file (see %APPDATA% path). # # ---------------------------------------------------------------------------------------------------------------------------- Скачал ваш логер, файл отчета в приложении. CollectionLog-2017.06.14-15.50.zip
    • Волга
      От Волга
      Здравствуйте. На рабочий компьютер бухгалтера проник шифровальчик Ishtar и все зашифровал. По форуму немного прошелся, шансы есть на восстановление? Все необходимое смогу отправить.

      Если расшифровка не возможна, очистить сможете помощь? Он в программы банковские лазать не умеет? Безопасно пользоваться данным компьютером после очистки?
    • opilune
      От opilune
      Добрый вечер, Хелперы. 

      На компьютере похулиганил ISHTAR , соответственно все жесткие диски с файлами ISHTAR-blablabla. Выручайте)

      Windows 7 Professional x86
      Написал на почту к этим . А оно не отправляется мыло.ру, через гугл.ком отправилось)

      Прикрепил:
      1) в архиве ISHTAR.zip (файл ISHTAR.DATA)
      2) Что требуют злодеи
      3) логи сканирования 
      4) отчет сканирования 0ku2qrfn и autologgera
      CollectionLog-2017.05.16-19.33.zip
      ISHTAR.zip
      README-ISHTAR.txt
      avz_log.txt
      cureit.zip
    • VOVA-VOVA
      От VOVA-VOVA
      Добрый день
      Сегодня бухгалтер словил ISHTAR , и этот поганец, как водиться закодировал все файлы.
      сразу был скачен и запущен КАСПЕРСКИЙ.
      и видимо он что то почистил, потому я не вижу ни одного файла, речь о которых идет в форуме!
      Ребята подскажите что где искать и как лечить....??
      спасибо
×
×
  • Создать...