Заражение новым вирусом

[Дмитрий Семик]

Добрый день. Перестали открываться файлы с расширением doc и xls, примерно  на 6-10  машинах плюс 2 сервера. Касперский поймал вирус Удалено троянская программа Backdoor.Win32.Androm.mgfm C:\Users\zykova\AppData\Local\Temp\goodtdeaasdgb54.exe 16.01.2017 14:23:33

И на сетевых дисках все папки стали от сегодняшнего числа.На рабочем столе появился файл скрытый RU255-ECXZE-OZZTO-HOORT-GAZTH-HRGHT-RXXFF-KTOOX-RYYYY.KEY.

При открытие xls файла пишет (действительный формат открываемого файла отличается от указываемого его разрешением имени файла).Хотя файл вроде не изменен не каким образом расширение тоже.

Файлы с расширением doc тоже не открываются.В сети около 60 компьютеров но заражены выборочно не понятно по какому признаку заражение происходит.Если надо могу приложит файл ключа и сам ехе файл который поймал касперский.   

CollectionLog-2017.01.17-09.54.zip

[SQ]

Здравствуйте,

Сами прописывали прокси-сервер?

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.231.59.211:8080
R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies,(Default) = 110.231.59.211:8080

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[Дмитрий Семик]

Да прокси прописывал сам.Может нужны исходные файлы с вирусом и ключем ?

Addition.txt

FRST.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  CHR Plugin: (Shockwave Flash) - C:\Users\zykova\AppData\Local\Google\Chrome\Application\52.0.2743.82\gcswf32.dll => No File
  CHR Plugin: (Native Client) - C:\Users\zykova\AppData\Local\Google\Chrome\Application\52.0.2743.82\ppGoogleNaClPluginChrome.dll => No File
  CHR Plugin: (Chrome PDF Viewer) - C:\Users\zykova\AppData\Local\Google\Chrome\Application\52.0.2743.82\pdf.dll => No File
  2017-01-16 10:27 - 2017-01-16 10:27 - 00001088 ___RH C:\Users\zykova\AppData\Roaming\RU255-ECXZE-OZZTO-HOORT-GAZTH-HRGHT-RXXFF-KTOOX-RYYYY.KEY
  2017-01-16 10:27 - 2017-01-16 10:27 - 00001088 _____ C:\Users\zykova\Desktop\RU255-ECXZE-OZZTO-HOORT-GAZTH-HRGHT-RXXFF-KTOOX-RYYYY.KEY
  2017-01-16 10:02 - 2017-01-16 10:28 - 72572104 _____ C:\Users\zykova\AppData\Roaming\916375716
  2017-01-16 10:02 - 2017-01-16 10:28 - 72572104 _____ () C:\Users\zykova\AppData\Roaming\916375716
  2017-01-16 10:27 - 2017-01-16 10:27 - 0001088 ___RH () C:\Users\zykova\AppData\Roaming\RU255-ECXZE-OZZTO-HOORT-GAZTH-HRGHT-RXXFF-KTOOX-RYYYY.KEY
  Reboot:
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

Может нужны исходные файлы с вирусом и ключем ?

Отправьте пожалуйста по адресу newvirus@kaspersky.com.

[Дмитрий Семик]

Вот Fixlog

Fixlog.txt

[SQ]

Если есть лицензия на продукты ЛК, то пробуйте создать запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525

[Дмитрий Семик]

Доброе утро!

Подскажите а в этой теме будет продолжение решения моей проблемы или на этом все?

Подскажите какие файлы нужно отправить  для запроса в ЛК для решения моей проблемы по дешифровке файлов  ?

Изменено 18 января, 2017 пользователем Дмитрий Семик

[SQ]

Доброе утро!

Подскажите а в этой теме будет продолжение решения моей проблемы или на этом все?

Подскажите какие файлы нужно отправить  для запроса в ЛК для решения моей проблемы по дешифровке файлов  ?

Мы не сможем помочь с расшифровкой данного типа шифровальщика, поэтому ранее  было предложено обратиться в тех. поддержку ЛК.

На данном этапе - на этом все.

 

P.S. Не удаляйте каталог C:\FRST пока не решите вопрос с расшифровкой.

[Дмитрий Семик]

Подскажите еще такой вопрос как я понимаю вируса больше нет ?

И могу ли я включать локальную сеть? или он снова начнет шифровать документы?

И по какому принципу он работает (вирус)?

И еще можете сказать как вирус называется ?

[SQ]

В логах шифровальщика не нашел. Но по признаком похож на Spora. В ранее предоставленных логах не нашел угроз.

P.S.А так если не открывать подозрительные письма, то скорее всего шифрование документов не должно повториться.

[Дмитрий Семик]

Добрый день. Есть продвижения по моей проблеме с вирусом ?

[SQ]

Добрый день. Есть продвижения по моей проблеме с вирусом ?

Ну мы с расшифровкой не сможем помочь. Что Вам интересует опишите по подробнее?