no_more_ransom

[chkof]

Добрый день!

Знакомая словила по почте вирус, который зашифровал файлы на диске. Мошенники за восстановление запросили 11тр. Есть ли возможность восстановить с вашей помощью данные? Лог по инструкции прикрепляю. Cureit обнаружил 8 вирусов, перенес в карантин.

ПОМОГИТЕ!

CollectionLog-2016.12.24-12.36.zip

[mike 1]

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

   

  

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[chkof]

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

   

  

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

По первой программе не понял где брать отчет CheckBrowsersLNK(3 пункт)

По ADWCleaner отчет прилагаю.

AdwCleanerS0.txt

Изменено 24 декабря, 2016 пользователем chkof

[mike 1]

В папке автологгера.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[chkof]

Разобрался, добавляю отчёт.

В папке автологгера.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

 

 

Готово.

ClearLNK-24.12.2016_23-41.log

AdwCleanerC0.txt

[mike 1]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[chkof]

Готово

Addition.txt

FRST.txt

[chkof]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

 

Есть шансы что-то восстановить?

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  GroupPolicy\User: Restriction ? <======= ATTENTION
  GroupPolicyUsers\S-1-5-21-117401385-792315534-4217955218-1002\User: Restriction <======= ATTENTION
  R1 BDMWrench; C:\Windows\System32\DRIVERS\BDMWrench.sys [216648 2014-11-05] (Baidu)
  S1 bd0001; system32\DRIVERS\bd0001.sys [X]
  S1 bd0002; system32\DRIVERS\bd0002.sys [X]
  2016-12-21 20:29 - 2016-12-21 20:29 - 03148854 _____ C:\Users\Lenovo\AppData\Roaming\25DA4D7425DA4D74.bmp
  2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README9.txt
  2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README8.txt
  2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README7.txt
  2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README6.txt
  2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README5.txt
  2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README4.txt
  2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README3.txt
  2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README2.txt
  2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README10.txt
  2016-12-21 14:25 - 2016-12-21 22:18 - 00000000 __SHD C:\Users\Все пользователи\Windows
  2016-12-21 14:25 - 2016-12-21 22:18 - 00000000 __SHD C:\ProgramData\Windows
  2016-12-21 20:29 - 2016-12-21 20:29 - 3148854 _____ () C:\Users\Lenovo\AppData\Roaming\25DA4D7425DA4D74.bmp
  FirewallRules: [{0BACF881-DFA7-4B32-8B75-1F0C8CAEDFE6}] => C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
  FirewallRules: [{869BE8CD-60E9-4CBD-B87B-B202CEBE43F7}] => C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
  FirewallRules: [{EF59EB48-1D5F-47BF-B003-2786F35BD79F}] => C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
  FirewallRules: [{F0DAB2EC-0D3C-4182-A42E-C42A7D1D5977}] => C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
  FirewallRules: [{2E6F9BB8-C5A9-4A2E-86A1-0791D0D6FF63}] => C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
  FirewallRules: [{62C17612-AB71-4147-9D17-53B7FBD00A08}] => C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
  FirewallRules: [{09F347D6-6E83-493C-9C86-B5B5C187E7E6}] => C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

[chkof]

Всех с Новым годом!

Готово.

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  GroupPolicy\User: Restriction ? <======= ATTENTION
  GroupPolicyUsers\S-1-5-21-117401385-792315534-4217955218-1002\User: Restriction <======= ATTENTION
  R1 BDMWrench; C:\Windows\System32\DRIVERS\BDMWrench.sys [216648 2014-11-05] (Baidu)
  S1 bd0001; system32\DRIVERS\bd0001.sys [X]
  S1 bd0002; system32\DRIVERS\bd0002.sys [X]
  2016-12-21 20:29 - 2016-12-21 20:29 - 03148854 _____ C:\Users\Lenovo\AppData\Roaming\25DA4D7425DA4D74.bmp
  2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README9.txt
  2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README8.txt
  2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README7.txt
  2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README6.txt
  2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README5.txt
  2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README4.txt
  2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README3.txt
  2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README2.txt
  2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README10.txt
  2016-12-21 14:25 - 2016-12-21 22:18 - 00000000 __SHD C:\Users\Все пользователи\Windows
  2016-12-21 14:25 - 2016-12-21 22:18 - 00000000 __SHD C:\ProgramData\Windows
  2016-12-21 20:29 - 2016-12-21 20:29 - 3148854 _____ () C:\Users\Lenovo\AppData\Roaming\25DA4D7425DA4D74.bmp
  FirewallRules: [{0BACF881-DFA7-4B32-8B75-1F0C8CAEDFE6}] => C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
  FirewallRules: [{869BE8CD-60E9-4CBD-B87B-B202CEBE43F7}] => C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
  FirewallRules: [{EF59EB48-1D5F-47BF-B003-2786F35BD79F}] => C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
  FirewallRules: [{F0DAB2EC-0D3C-4182-A42E-C42A7D1D5977}] => C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
  FirewallRules: [{2E6F9BB8-C5A9-4A2E-86A1-0791D0D6FF63}] => C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
  FirewallRules: [{62C17612-AB71-4147-9D17-53B7FBD00A08}] => C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
  FirewallRules: [{09F347D6-6E83-493C-9C86-B5B5C187E7E6}] => C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Какие дальнейшие действия? Вирус удалён? Можно ли попытаться расшифровать данные?

Fixlog.txt

Изменено 2 января, 2017 пользователем chkof

[chkof]

Подскажите, что ещё можно сделать? По логам видно что вирус удален?

[mike 1]

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525