Зашифрованы данные

[Михаил Емеличев]

Доброго времени суток. Сегодня секретарь при прочтении почты словила вирус. Пришло письмо якобы от "управления образования" (работаю в школе) с графиком, был прикреплен .zip архив. Папки стали скрытыми, вместо них ярлыки с выполнением программы и открытия папки. Удалил ярлыки, снял атрибут скрытности, удалил экзешники и хтм с автозагрузки и рабочего стола, сделал откат системы на 12 января. Как выяснилось после восстановления - файлы (пдф, офис, архивы) зашифрованы и не открываются. Дата изменения - как раз время открытия "архива". 

Новые файлы нормально создаются и открываются, файлы скачанные после открытия вируса тоже нормально открываются.

 

Та же схема была проделана на еще одном компьютере - необходимо ли создавать отдельную тему с логами второго пк? На втором пк не было отката.

 

Просканировал KVRT - все чисто.

Прикрепляю лог, сам "зип архив" и несколько файлов зашифрованных.  

 

письмо.JPG - скрин письма в почте (в спам отправил самостоятельно, после выявления причины проблемы)

зашифрованные.rar - пример файлов, после зашифровки

CollectionLog-2017.01.13-15.37.zip - Логи

График на декаб.-январь_просмотр.zip - ВРЕДОНОСНЫЙ АРХИВ! НАСТОЯТЕЛЬНО РЕКОМЕНДУЮ ПЛОХО РАЗБИРАЮЩИМСЯ ПОЛЬЗОВАТЕЛЯМ НЕ СКАЧИВАТЬ И НЕ ОТКРЫВАТЬ ВРЕДОНОСНЫЙ АРХИВ!!!

CollectionLog-2017.01.13-15.37.zip

зашифрованные.rar

Изменено 13 января, 2017 пользователем Sandor
Убрал подозрительный файл

[Sandor]

Здравствуйте!

 

необходимо ли создавать отдельную тему с логами второго пк?

Да.

 

Здесь дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Михаил Емеличев]

Здравствуйте!

 

необходимо ли создавать отдельную тему с логами второго пк?

Да.

 

Здесь дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

+

Что-то еще необходимо?

Shortcut.txt

Addition.txt

FRST.txt

[Sandor]

В логах порядок. Вынужден огорчить, с расшифровкой не поможем.

[Михаил Емеличев]

В логах порядок. Вынужден огорчить, с расшифровкой не поможем.

А куда-то еще можно обратиться? Если отправить как указано в этой теме? https://forum.kasperskyclub.ru/index.php?showtopic=48525&do=findComment&comment=774377

[thyrex]

C:\Documents and Settings\admin\Local Settings\Temp\d512b289-37ce-0dd4-0fa4-41f99f63037e.exe

C:\Documents and Settings\admin\Local Settings\Temp\goodtdeaasdgb54.exe

 

заархивируйте с паролем virus, выложите на https://www.sendspace.com  и пришлите ссылку на скачивание мне в личные сообщения

[Михаил Емеличев]

 

C:\Documents and Settings\admin\Local Settings\Temp\d512b289-37ce-0dd4-0fa4-41f99f63037e.exe

C:\Documents and Settings\admin\Local Settings\Temp\goodtdeaasdgb54.exe

 

заархивируйте с паролем virus, выложите на https://www.sendspace.com  и пришлите ссылку на скачивание мне в личные сообщения

 

Ответил ЛС. Прошу прощения за сроки - на выходных не было доступа к рабочему пк.

[bga]

Аналогичная ситуация. Сегодня человеку пришло письмо с вложением Платежка_счет_декабрь.zip, в архиве файл Перечень_документов_от_16 января_2017_года...._txt_.hta

при запуске этого файла генерируется C:\Documents and Settings\User\Local Settings\Temp\goodtdeaasdgb54.exe  и пошло, поехало. В результате на компе шесть десятков вирусов и куча зашифрованных файлов .doc и .xls

Если получится создать расшифровщик, буду очень признателен.

Изменено 16 января, 2017 пользователем bga

[Sandor]

@bga, не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи

[Михаил Емеличев]

 

 

6. В качестве темы запроса укажите "Запрос на расшифровку файлов". Опишите максимально подробно Вашу проблему и прикрепите необходимые файлы. Желательно перед выполнением этого пункта проконсультироваться с консультантом на форуме. Консультант Вам подскажет, какие файлы могут оказаться полезными для вирусной лаборатории, что в конечном счете может сказаться на успехе расшифровки Ваших файлов. 

 

Создаю запрос в тех. поддержку, Подскажите пожалуйста, какие файлы прикрепить.

[Sandor]

Несколько небольших зашифрованных и эти:

C:\RUDA7-D5XFE-AETEO-RTOTO-OTARA-ZTROE-FYYYY.LST

C:\RUDA7-D5XFE-AETEO-RTOTO-OTARA-ZTROE-FYYYY.HTML

C:\RUDA7-D5XFE-AETEO-RTOTO-OTARA-ZTROE-FYYYY.KEY

C:\Documents and Settings\admin\Application Data\3302021488

[pvh]

Несколько небольших зашифрованных и эти:

C:\RUDA7-D5XFE-AETEO-RTOTO-OTARA-ZTROE-FYYYY.LST

C:\RUDA7-D5XFE-AETEO-RTOTO-OTARA-ZTROE-FYYYY.HTML

C:\RUDA7-D5XFE-AETEO-RTOTO-OTARA-ZTROE-FYYYY.KEY

C:\Documents and Settings\admin\Application Data\3302021488

 

Добрый день! Подскажите удалось ли расшифровать файлы зашифрованные, описываемым здесь вирусом

[Sandor]

@pvh, здравствуйте!

 

Не пишите в чужой теме. Если нужна помощь, создайте свою и выполните Порядок оформления запроса о помощи

удалось ли расшифровать

Нет, и по всей видимости не скоро.