Неизвестны шифровальщик не успевший закончить работу.

[Борис Юринов]

Все как у всех, письмо от контрагента с Счт по заявке_КвитанцияDOC.zip

Ссылка на вирустотал https://www.virustotal.com/ru/file/7f68980853a30443b643ca59e79d13aec4f86387db9894750c467ded0f97ecad/analysis/1484048189/

Файл открыт на ноутбуке, и через 5 минут (по логам винды) комп был перезапущен так как:- "стал тормозить"

 

В итоге имеем не открывающиеся ворд\экскль\пдф + часть фотографий так как jpg не прикладывается, расширение поменяно на .zip. (приложены к теме для понимания)

На рабочем столе скрытым файлом лежит файл ключа (приложен к теме) расширение .KEY не прикладывается, изменено на .zip

Внутри ключа строка из иероглифов (по виду вроде корейских)

 

Бэкап есть но полугодовой давности. Винда 8.1.

Есть ли шансы расшифровать, и может кто то подскажет что это такое вообще?

 

CollectionLog-2017.01.11-09.31.zip

e-mail сотрудников.doc

2011-09-25 17.07.06_jpg.zip

RUA4E-5BOGX-OTGHG-TKTOT-RHHFG-TAXYY_KEY.zip

[SQ]

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.


- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)


Могли бы сам шифровальщик отправить на https://newvirus.kaspersky.com а также мне в лс (личным сообщение)?
 

[Борис Юринов]

Лог с TDSSKiller в приложении.

Само письмо с вирусом пользователь удалил, а я успел только послать файл на вирустотал, написал им, что бы прислали мне его обратно вчера еще, но пока без ответа.

TDSSKiller.3.1.0.12_11.01.2017_11.30.46_log.txt

[SQ]

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

  

• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Само письмо с вирусом пользователь удалил, а я успел только послать файл на вирустотал, написал им, что бы прислали мне его обратно вчера еще, но пока без ответа.

Предоставьте пожалуйста ссылку с результатом.

[Борис Юринов]

Предоставьте пожалуйста ссылку с результатом.

 

 

https://www.virustotal.com/ru/file/7f68980853a30443b643ca59e79d13aec4f86387db9894750c467ded0f97ecad/analysis/1484048189/

 

в первом сообщении была. Сейчас сделаю скан

Addition.txt

FRST.txt

Изменено 11 января, 2017 пользователем Борис Юринов

[SQ]

https://www.virustotal.com/ru/file/7f68980853a30443b643ca59e79d13aec4f86387db9894750c467ded0f97ecad/analysis/1484048189/

 

в первом сообщении была. Сейчас сделаю скан

Предполагал, что есть другие результаты, обычно необходимо проверять файл на вредоносность не в архиве, а распакованным если файл предоставляет собой архив.

[Борис Юринов]

Увы, то что есть, я не стал в тот момент открывать архив, а потом было уже поздно. Ссылки на логи приложил выше, но тут продублирую.

Addition.txt

FRST.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx <not found>
  CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx <not found>
  Zip: C:\Users\ber-s\Desktop\RUA4E-5BOGX-OTGHG-TKTOT-RHHFG-TAXYY.KEY;C:\Users\ber-s\AppData\Roaming\RUA4E-5BOGX-OTGHG-TKTOT-RHHFG-TAXYY.KEY;C:\Users\ber-s\AppData\Roaming\4141310420;C:\Users\ber-s\AppData\Local\Temp\81063163ded.exe;C:\Users\ber-s\AppData\Local\Temp\a7bc78.exe;C:\Users\ber-s\AppData\Local\Temp\KMS.exe
  2015-07-09 09:46 - 2017-01-11 11:36 - 0000062 _____ () C:\Users\ber-s\AppData\Roaming\sp_data.sys
  2014-08-16 07:03 - 2014-08-16 07:03 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
  File: C:\Users\ber-s\AppData\Local\Temp\81063163ded.exe
  File: C:\Users\ber-s\AppData\Local\Temp\a7bc78.exe
  File: C:\Users\ber-s\AppData\Local\Temp\KMS.exe
  C:\Users\ber-s\AppData\Local\Temp\81063163ded.exe
  C:\Users\ber-s\AppData\Local\Temp\a7bc78.exe
  C:\Users\ber-s\AppData\Local\Temp\KMS.exe
  Task: {0D8A891D-890C-4808-84D8-2F436AB14653} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION
  Task: {1274336E-AB06-46B6-A48C-0671C5557CC6} - \Microsoft\Windows\TaskScheduler\Maintenance Configurator -> No File <==== ATTENTION
  Task: {1687544D-7247-4F5A-965A-A6E920E55278} - \Microsoft\Windows\TaskScheduler\Manual Maintenance -> No File <==== ATTENTION
  Task: {6F02587F-8A2B-4552-97F6-DEEF229E335B} - \Microsoft\Windows\TaskScheduler\Idle Maintenance -> No File <==== ATTENTION
  Task: {B7992938-01F1-4F40-A0EC-0D23D2F0F152} - \Microsoft\Windows\TaskScheduler\Regular Maintenance -> No File <==== ATTENTION
  Task: {CFD7C21A-808B-487B-A6EC-8A10E44E8360} - \Microsoft\Windows\SettingSync\BackupTask -> No File <==== ATTENTION
  Reboot:
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

После выполнения на рабочем столе появиться архив вида upload.zip или <дата>_<время>.zip (где <дата>- текущая дата, <время> - текущее время.) загрузите на какое-то файловое хранилище (например яндекс диск, гугле диск) и отправьте пожалуйста ссылку на скачивание в лс (личное сообщение) для анализа.

[Борис Юринов]

фикслог в приложении, ссылка в личке.

Fixlog.txt

[SQ]

Если есть лицензия на продукты ЛК, пробуйте создать запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525

P.S. Не удаляйте каталог C:\FRST пока не решите вопрос с расшифровкой.
 

[Борис Юринов]

Лицензии ЛК нет, есть смысл покупать и делать запрос? На сколько оцениваете шансы, учитывая, что даже не известен тип шифровальщика?

[SQ]

Лицензии ЛК нет, есть смысл покупать и делать запрос? На сколько оцениваете шансы, учитывая, что даже не известен тип шифровальщика?

Не могу Вам ответить на этот вопрос, может есть у Ваших друзей или знакомых, то попросите их создать запрос.

 

P.S. Гарантировать положительный результат не могу, но похоже что шифровальщик использует технологию шифрования AES+RSA-1024, тут скорее всего на данный момент шансы ближе к нулю.

[Борис Юринов]

 

P.S. Гарантировать положительный результат не могу, но похоже что шифровальщик использует технологию шифрования AES+RSA-1024, тут скорее всего на данный момент шансы ближе к нулю.

 

 

Ну собственно в таком результате я почти не сомневался, и надеюсь это заставит пользователя делать бэкапы регулярнее (предыдущий бэкап был сделан после такого же шифровальщика), 2 раза на одни и те же грабли за пол года Больше интересовал вариант понять, что за шифровальщик, и узнать цену возврата. Данные на ноутбуке важные, не не критичные.

 

Большое спасибо за помощь. 

[SQ]

Удачи Вам, надеюсь помощь более не потребуется, будьте бдительны.