Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

шифровальщик с расширением "KUKARACHA" (.kukaracha)

LEN74
 Поделиться

Рекомендуемые сообщения

LEN74

LEN74

Опубликовано
Опубликовано

Здравствуйте

поймали вирус-шифровальщик, ( пришло письмо на почту вложенный файл оказался с расширением js., 

файлы зашифрованы "KUKARACHA" (.kukaracha)

при запуске компьютера открывается текстовый документ "ПРОЧТИ МЕНЯ",  след. содержания:

 

Ваши файлы зашифрованы с использованием криптостойкого алгоритма RSA-2048.
Если хотите их вернуть отправьте один из зашифрованных файлов и файл keycode.tta на e-mail: unlock92@india.com
Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.con браузер  TOR и с его помощью зайдите на сайт:
http://ezulxxtwqos5g736.onion-  там будет указан действующий почтовый ящик.
Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!

 

проверкой  Kaspersky Virus Removal Tool 2015 обнаружен вирус:

Trojan-Ransom.Win32.Scatter.lb
Файл: C:\Users\Админ\AppData\Local\Temp\cmss.exe
Троянская программа
    MD5:  6BEE511C779649A7FE989AED8B685268
    SHA256:  CF914E64A00E27CE5532082BCE518627412FC30E09FA5ED34270F17945CC9211

 

платить не стали, хотя утеряны доки за 10 лет , почитала на форумах, что расшифровать не получится, тем более что один "спец" уже попробовал сам лечить, в итоге предложили переустановить систему,

но некоторые файлы не за шифровались, и программки работают, например бизнес-пак, а у нас там документы с 2006года. Точки восстановления системы нет, флешка с базами и сохраненными доками тоже закукарачилась (как раз когда шифровальщик активировался с флешкой работали) Есть старая флешка но на ней инфа трехлетней давности, поэтому не хочется сносить систему, заражение было 02.12.16, после этого на компе делали новые документы - те что в ворде и JPEG не защифровываются, а в эхl когда открываются паралельно открывается еще два табличных документа с каракулями, но основной не изменяется.

 

Подскажите как  почистить комп чтобы удалить все вирусы и  сохранить не поврежденную информацию. и есть ли возможность как то сохранить файлы - может через какое то время появится возможность их расшифровать. Проверку KVRT сделала но вирус ещё не удаляла

CollectionLog-2016.12.13-12.31.zip

mike 1

mike 1

Опубликовано
Опубликовано

  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

     

    move.gif

  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.
Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
LEN74

LEN74

Опубликовано
  • Автор
Опубликовано

 

  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

     

    move.gif

  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.
Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png

 

Добрый день прикрепляю полученные отчеты

ClearLNK-15.12.2016_13-32.log

FRST.txt

Addition.txt

mike 1

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\--------ПРОЧТИ МЕНЯ--------.txt [2016-12-02] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keycode.tta [2016-12-02] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keycode1.tta [2016-12-02] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keycode2.tta [2016-12-02] ()
Startup: C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\--------ПРОЧТИ МЕНЯ--------.txt [2016-12-02] ()
Startup: C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\keycode.tta [2016-12-02] ()
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-824696509-2698304537-1489227355-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
C:\Users\Админ\AppData\Local\Temp\cmss.exe
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
LEN74

LEN74

Опубликовано
  • Автор
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\--------ПРОЧТИ МЕНЯ--------.txt [2016-12-02] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keycode.tta [2016-12-02] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keycode1.tta [2016-12-02] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keycode2.tta [2016-12-02] ()
Startup: C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\--------ПРОЧТИ МЕНЯ--------.txt [2016-12-02] ()
Startup: C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\keycode.tta [2016-12-02] ()
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-824696509-2698304537-1489227355-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
C:\Users\Админ\AppData\Local\Temp\cmss.exe
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Прикрепляю созданный лог-файл

Fixlog.txt

mike 1

mike 1

Опубликовано
Опубликовано

AV: avast! Antivirus (Enabled - Out of date) {17AD7D40-BA12-9C46-7131-94903A54AD8B}

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). За расшифровкой обращайтесь в техподдержку вашего антивируса.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • grimm705x
      Шифровальщик Kukaracha под Новый год пришёл
      Автор grimm705x
      Добрый день!
      Ситуация типичная, сотрудница получила письмо на почту mail.ru, естественно, открыла его. После чего к расширению всех файлов прибавилось ".kukaracha."
      Каперский отреагировал поздно и обнаружил:
      10 файлов Trojan.Win32.Agentb.adkr
      39 файлов not-a-virus:HEUR:AdWare.Script.Generic
      2 файла UDS:DangerousObject.Multi.Generic
      1 файл not-a-virus:HEUR:AdWare.Win32.ELEX.gen
      Далее, прошелся по Вашему порядку оформления запроса о помощи
      Скачал Kaspersky Virus Removal Tool 2015
      Отключил касперского free
      Запустил KVRT2015 и выполнил проверку. Результат таков: 
      not-a-virus:HEUR:RiskTool.Win32.Generic Файл: C:\Users\User\AdobeChecker.exe Легальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя     MD5:  155FCE01FA0C8477B20C1CD5A2763D87     SHA256:  9C5BF431DB30BF3B53E1C94F84E5FF04ED1C15E06009EF8BD4818FB58936795E Следующим шагом собрал логи. Вот и всё. Помогите, пожалуйста. CollectionLog-2016.12.24-15.22.zip залил на хостинг. Здесь ошибку IO при загрузке выдаёт   report1.log
      report2.log
    • Дмитрий Тахтараков
      "KUKARACHA" попортил файлы
      Автор Дмитрий Тахтараков
      Данный вирус посетил один из компьютеров( 
       
       
      текст сообщения: 
      Ваши файлы зашифрованы с использованием криптостойкого алгоритма RSA-2048.  Если хотите их вернуть отправьте один из зашифрованных файлов и файл keycode.tta на e-mail: unlock92@india.com  Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.con браузер  TOR и с его помощью зайдите на сайт: http://ezulxxtwqos5g736.onion-  там будет указан действующий почтовый ящик.  Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!   CollectionLog-2016.12.21-17.42.zip
    • sirius
      kukaracha зашифровала файлы
      Автор sirius
      Пришла дрянь по почте, открыли и заразили комп шифровальщиком. Все файлы имеют расширение kukaracha, содержимое зашифровано. 
      Во всех папках лежат файлы прочти меня с текстом
      Ваши файлы зашифрованы с использованием криптостойкого алгоритма RSA-2048.  Если хотите их вернуть отправьте один из зашифрованных файлов и файл keycode.tta на e-mail: unlock92@india.com  Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.con браузер  TOR и с его помощью зайдите на сайт: http://ezulxxtwqos5g736.onion-  там будет указан действующий почтовый ящик.  Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!

      Ребятки требуют 150$ биткоинами. Хел чего делать?
      Во вложении архив в нем пример зашифрованного файла и расшифрованного. Addition.txt
      FRST.txt
      123.zip
    • Sonyk
      Вирус-шифровальщик. расширение "KUKARACHA" попортил файлы.
      Автор Sonyk
      Здравствуйте.
           Поймали вирус- шифровальщик с расширением  «kukaracha».
       Находился в письме. Один из сотрудников его запустил((( Им были изменены все текстовые, фото и архивные файлы. Теперь они выглядят примерно так : Водяные лилии.jpg.kukaracha
      При запуске Экселя, попутно открывается еще несколько окон в одном из них послание от вымогателей:
         Ваши файлы зашифрованы с использованием криптостойкого алгоритма RSA-2048. Если хотите их вернуть отправьте один из зашифрованных файлов и файл keycode.tta на e-mail: unlock92@india.com Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.con браузер  TOR и с его помощью зайдите на сайт:http://ezulxxtwqos5g736.onion-  там будет указан действующий почтовый ящик. Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!
       Платить не стали, но поинтересовались ценой расшифровщика, на что получили такой ответ:
       Программа для восстановления данных стоит 0.26 биткоина. Это порядка $120.Ключ дешифровки существует семь дней. После его удаления восстановление файлов будет невозможно.В доказательство они расшифровали один из отосланных нами фаилов.(((((
       Просьба подсказать или помочь в избавлении от этой «бяки»
      Addition.txt
      Check_Browsers_LNK.log
      CollectionLog-2016.12.16-10.18.zip
      FRST.txt
    • Анна14041986
      вирус зашифровал все документы word и фото
      Автор Анна14041986
      При включении в блокноте открывается сообщение: Ваши файлы зашифрованы с использованием криптостойкого алгоритма RSA-2048. 
      Если хотите их вернуть отправьте один из зашифрованных файлов и файл keycode.tta на e-mail: unlock92@india.com  Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.con браузер  TOR и с его помощью зайдите на сайт: http://ezulxxtwqos5g736.onion-  там будет указан действующий почтовый ящик.  Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!   Просканирова компьютер, файлы прикрепила. Addition.txt
      FRST.txt
×
×
  • Создать...