Шифровальщик mr.anders@protonmail.com

[WhoIsIt]

Добрый день.

 

Один из сотрудников в офисе подхватил вирус-шифровальщик из электронной почты. Заметили достаточно поздно, файлы успели зашифроваться с расширением "*.neitrino", в каждом каталоге на диске создан текстовый файл "MESSAGE.txt" со следующим содержимым:

"Запросить стоимость декриптора можно, написав письмо на адрес: mr.anders@protonmail.com

В ТЕМЕ письма укажите ваш ID: хххххххххх

Письма без указания ID игнорируются.

Убедительная просьба не пытаться расшифровать файлы сторонними инструментами.

Вы можете их окончательно испортить и даже оригинальный декриптор не поможет.

Приобрести декриптор можно до хх.хх.хххх

Заявки обрабатываются автоматической системой".

 

Сложность в том, что этот пользователь зараженного компьютера переслал письмо с вирусом другому сотруднику и на руках теперь 2-а зашифрованных компьютера одним и тем же шифровальщиком. К письму прикрепляю логи от первого компьютера.

 

Прошу помочь дешифровать информацию на компьютере.

 

CollectionLog-2017.01.16-11.23.zip

[Sandor]

Здравствуйте!

 

Логи сделаны в терминальной сессии, сделайте их из консоли.

[WhoIsIt]

Добрый день.

 

Сделал из консоли, прикрепил к письму.

CollectionLog-2017.01.17-10.23.zip

[Sandor]

Включите Восстановление системы.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[WhoIsIt]

Сделал

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Включите Восстановление системы.

По-прежнему не включено. Включите.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2017-01-13 16:57 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\Мои документы\MESSAGE.txt
2017-01-13 16:57 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\Главное меню\Программы\MESSAGE.txt
2017-01-13 16:57 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\Главное меню\MESSAGE.txt
2017-01-13 16:56 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\MESSAGE.txt
2017-01-13 16:56 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\Local Settings\MESSAGE.txt
2017-01-13 16:56 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\Local Settings\Application Data\MESSAGE.txt
2017-01-13 16:56 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\ира\Application Data\MESSAGE.txt
2017-01-13 16:56 - 2017-01-13 16:59 - 00000417 _____ C:\Documents and Settings\All Users\Application Data\MESSAGE.txt
2017-01-13 14:57 - 2017-01-13 14:57 - 00001088 ___RH C:\Documents and Settings\ира\Application Data\RUC73-03KHX-GOTXX-FGATX-RTARG-TXHKA-FHTXR-RGYYY.KEY
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[WhoIsIt]

Восстановление включил.

Fixlog.txt

[Sandor]

С расшифровкой помочь не сможем.

[WhoIsIt]

Понятно, спасибо. Если возможно, дайте, пожалуйста, чуть более развернутый ответ. Просто за компьютером в течении дня работал человек, мог ли он усугубить проблему или у вируса-шифровальщика был задействован алгоритм шифрования, для которого нет еще дешифровщика?

[Sandor]

для которого нет еще дешифровщика?

Именно так.

[WhoIsIt]

Ясно, спасибо еще раз (