шифровальщик

[SAMbI4]

Добрый день.

Зашифровались все файлы, в т.ч. сетевые диски, архив с файлами и телом вируса прилагаю!

 

пароль к архиву - infected

 

Прошу помочь с расшифровкой.

 

Спасибо

Изменено 14 декабря, 2016 пользователем Sandor
Убрал подозрительный файл

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

[thyrex]

Файл, который запустили перед появлением шифрования (загрузчик шифратора), случайно не сохранился?

[SAMbI4]

Добрый день.

Прилогаю отчет о сканировании

CollectionLog-2016.12.15-13.36.zip

[Sandor]

На предыдущий вопрос ответьте, пожалуйста.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Monthy\AppData\Local\Oqbhics\dhkcaksb.dll','');
 QuarantineFileF('C:\Users\Monthy\AppData\Local\Oqbhics\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Users\Monthy\AppData\Local\Temp\a.txt', '');
 QuarantineFile('C:\Users\Monthy\AppData\Local\Temp\a2.exe', '');
 DeleteFile('C:\Users\Monthy\AppData\Local\Oqbhics\dhkcaksb.dll','32');
 DeleteFile('C:\Users\Monthy\AppData\Local\Temp\a.txt', '32');
 DeleteFile('C:\Users\Monthy\AppData\Local\Temp\a2.exe', '32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-29251391-666041602-1009075631-1120\Software\Microsoft\Windows\CurrentVersion\Run','Ohqhics');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-29251391-666041602-1009075631-1120\Software\Microsoft\Windows\CurrentVersion\Run','Crypted');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-29251391-666041602-1009075631-1120\Software\Microsoft\Windows\CurrentVersion\Run','{9F056BE4-8846-54D2-6B1C-A64FA1E3D37D}');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[SAMbI4]

Файл, который запустили перед появлением шифрования (загрузчик шифратора), случайно не сохранился?

файл есть в почте, сотрудник под которым выполнился скрипт, отсутствует сегодня, смогу предоставить только завтра.

Так-же сохранился сам шифратор, могу тоже предоставить.

 

 

На предыдущий вопрос ответьте, пожалуйста.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Monthy\AppData\Local\Oqbhics\dhkcaksb.dll','');
 QuarantineFileF('C:\Users\Monthy\AppData\Local\Oqbhics\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Users\Monthy\AppData\Local\Temp\a.txt', '');
 QuarantineFile('C:\Users\Monthy\AppData\Local\Temp\a2.exe', '');
 DeleteFile('C:\Users\Monthy\AppData\Local\Oqbhics\dhkcaksb.dll','32');
 DeleteFile('C:\Users\Monthy\AppData\Local\Temp\a.txt', '32');
 DeleteFile('C:\Users\Monthy\AppData\Local\Temp\a2.exe', '32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-29251391-666041602-1009075631-1120\Software\Microsoft\Windows\CurrentVersion\Run','Ohqhics');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-29251391-666041602-1009075631-1120\Software\Microsoft\Windows\CurrentVersion\Run','Crypted');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-29251391-666041602-1009075631-1120\Software\Microsoft\Windows\CurrentVersion\Run','{9F056BE4-8846-54D2-6B1C-A64FA1E3D37D}');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

Я вас понял, как будет минутка, займусь

[Sandor]

смогу предоставить только завтра. Так-же сохранился сам шифратор, могу тоже предоставить.

Хорошо. Отправьте @thyrex или мне личным сообщением.

[SAMbI4]

Новые логи прикрепил, файл quarantine.zip отправил, жду ответ сразу отпишу.

 

CollectionLog-2016.12.15-14.38.zip

[SAMbI4]

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN)

ответ от newvirus@kaspersky.com:

 

quarantine [KLAN-5522382613]

 

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
quarantine.zip

 

 

[Sandor]

Да, упакуйте с паролем и отправьте.

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Изменено 15 декабря, 2016 пользователем Sandor

[SAMbI4]

@Sandor, это к кому из нас относится?

[Sandor]

@SAMbI4, к Вам

Файл получил, спасибо! Продолжайте.

[SAMbI4]

Файлы сканов во вложении

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
SearchScopes: HKLM-x32 -> {ca6a7ab9-f4b5-4d50-b5d2-33e996549ae3} URL = hxxp://int.search.tb.ask.com/search/GGmain.jhtml?p2=^BXM^xdm004^YYA^sc&ptb=5BA7D547-CC84-401B-ACA7-4AFCC8E45E76&ind=2015102003&n=781c0433&psa=&st=sb&searchfor={searchTerms}
CHR Extension: (No Name) - C:\Users\romenskiy\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2015-12-09]
CHR Extension: (No Name) - C:\Users\romenskiy\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-12-09]
CHR Extension: (No Name) - C:\Users\romenskiy\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-12-09]
CHR Extension: (No Name) - C:\Users\romenskiy\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-12-09]
CHR Extension: (No Name) - C:\Users\romenskiy\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-12-09]
CHR Extension: (No Name) - C:\Users\romenskiy\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2015-12-09]
CHR Extension: (No Name) - C:\Users\romenskiy\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-07-05]
CHR Extension: (No Name) - C:\Users\romenskiy\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-12-09]
AlternateDataStreams: C:\Windows:nlsPreferences [386]
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[SAMbI4]

@Sandor, файл во вложении

Fixlog.txt