ISHTAR поразил компьютер! на компе ВАЖНАЯ ИНФОРМАЦИЯ!

[Anastasiya_7_7_8]

Доброго дня!

На рабочую почту пришло письмо с неоплаченным счетом.

При запуске вложения, было предложено распаковать архив, хотя файл в формате html. После отказа в операции, письмо закрыла.

На след.день утром запустился вирус и началось поражение общих, сетевых папок. К счастью, вирус быстро обнаружили. Пораженные файлы восстановили, путем рез.копий.

Все файлы на компьютере, с которого запущен был вирус-файл, зашифрованы.

После был установлен 360 Total Security

При его запуске были обнаружены 22 угрозы и  исправлены.

При запуске Kaspersky Virus Removal Tool  вирусом блокируется проверка и программа закрывается.

Логи во вложении!

Просьба дать ответ, есть ли возможность для восстановления или расшифровки файлов?!

 

Заранее благодарю!

CollectionLog-2017.01.17-12.34.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Anastasia\AppData\Roaming\8w0F32O6K.exe', '');
 DeleteFile('C:\Users\Anastasia\AppData\Roaming\8w0F32O6K.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Стасум]

Добрый день.

Попали на письмо с неоплаченным счетом.

тут же попал на вирус ishtar. Все файлы ворд, пдф и др. 

нечего не можем поделать с этим.

Есть решение?

 

README-ISHTAR.txt

[Sandor]

@Стасум, не пишите в чужой теме, создайте свою. Прочтите и выполните Порядок оформления запроса о помощи

[Anastasiya_7_7_8]

ответ от newvirus@kaspersky.com:

 

[KLAN-5670624496]

CollectionLog-2017.01.17-12.34.zip

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

В файлах найдены вредоносные программы
8w0F32O6K.exe - Trojan-Ransom.Win32.Ishtar.bt

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com"

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR Extension: (Яндекс) - C:\Users\Anastasia\AppData\Local\Google\Chrome\User Data\Default\Extensions\necfmkplpminfjagblfabggomdpaakan [2017-01-17]
2017-01-17 11:23 - 2017-01-17 11:23 - 00001077 _____ C:\Users\Anastasia\Desktop\ISHTAR.DATA
2017-01-17 11:23 - 2017-01-17 10:00 - 00001830 _____ C:\Users\Anastasia\Desktop\README-ISHTAR.txt
2017-01-17 10:00 - 2017-01-17 11:23 - 00001077 _____ C:\Users\Anastasia\AppData\Roaming\ISHTAR.DATA
2017-01-17 10:00 - 2017-01-17 10:00 - 00001830 _____ C:\Users\Anastasia\AppData\Roaming\README-ISHTAR.txt
2017-01-17 09:26 - 2017-01-18 10:50 - 01220237 _____ C:\Users\Anastasia\AppData\Roaming\8w0F32O6K.tmp
AlternateDataStreams: C:\Users\Anastasia\Downloads\Everything: поиск.lnk [2144]
AlternateDataStreams: C:\Users\Anastasia\Downloads\Everything (1): поиск.lnk [2144]
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Anastasiya_7_7_8]

лог-файл (Fixlog.txt)

Fixlog.txt

[Sandor]

С расшифровкой, к сожалению, помочь не сможем.

[Anastasiya_7_7_8]

Спасибо за помощь и участие.