Шифровальщик повредил файлы doc и xls на компьютере и сетевых папках

[Andrey Docker]

18.01.17 примерно в 8:30, на одной машине пользователя запустился шифровальщик, и зашифровал (на самой машине, и сетевых папках к которым имел доступ пользователь) файлы типа doc и xls.

Документы перестали открываться (не та кодировка и пр.). Имена файлов остались те же. Изменились только дата и время на текущее время кодировки. На рабочем столе пользователя появился скрытый файл типа: RU51B-2AAGE-HOTAR-FRTXZ-ETRZG-XTXFA-KATRA-GKYYY.KEY

Операционная система: Windows 7 Профессиональная (64-разрядная)

Согласно рекомендации: https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]
1. Провел проверку ПК "Kaspersky Virus Removal Tools 2015"

Касперский обнаружил Троянскую программу: Trojan-Ransom.Win32.Spora.d
Файл: C:\User\~ПОЛЬЗОВАТЕЛЬ~\AppData\Local\Temp\file.exe
Троянская программа
MD5:  5EC03B4F84390595BFD17ACDE23F33A6
SHA256:  491AFA46F1F4ED5E9831E92BF31A65505A89A9D12FC010BC5E1369F0E4AE12E9

Выбрал действие: Скопировать в карантин

2. Сборщиком логов компьютер просканировал. Логи к письму прикрепляю.

CollectionLog-2017.01.19-09.42.zip

Изменено 19 января, 2017 пользователем Andrey Docker

[mike 1]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Andrey Docker]

Отчет утилиты Farbar:

FRST.txt

Addition.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  GroupPolicy: Restriction <======= ATTENTION
  2017-01-18 08:40 - 2017-01-18 08:40 - 00001088 ___RH C:\Users\ikomarov\AppData\Roaming\RU51B-2AAGE-HOTAR-FRTXZ-ETRZG-XTXFA-KATRA-GKYYY.KEY
  2017-01-18 08:30 - 2017-01-18 08:41 - 14354936 _____ C:\Users\ikomarov\AppData\Roaming\951948370
  C:\Users\ikomarov\AppData\Local\Temp\ARPPRODUCTICON.exe
  C:\Users\ikomarov\AppData\Local\Temp\dlBCA6C3BB-E6D8-6846-B53A-5ADCF55F428C.exe
  C:\Users\ikomarov\AppData\Local\Temp\KTOutlk.dll
  C:\Users\ikomarov\AppData\Local\Temp\NewShortcut3_038FA51CD2344986B5A666934722DB27.exe
  C:\Users\promanov\AppData\Local\Temp\KTOutlk.dll
  zip:C:\FRST\Quarantine
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

[Andrey Docker]

Лог-файл:

=================

Созданный утилитой архив 23.01.2017_08.42.37.zip загрузил через форму http://virusinfo.info/upload_virus.php?tid=37678
При заполнении формы, в поле "Ссылка на тему" оставил по умолчанию "http://virusinfo.info/showthread.php?t=37678".

Результат загрузки:

 

Файл сохранён как
170123_085921_23.01.2017_08.42.37_58859bb99931f.zip
Размер файла
16965499
MD5 de79ce9c89f366fedfcdac7fdebc598a

 

 

Fixlog.txt

Изменено 23 января, 2017 пользователем Andrey Docker

[mike 1]

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525

[Stahan0vec]

Произошло тоже самое, скажите что делать? проделать те же операции или ждать ответа по теме?

[mike 1]

Произошло тоже самое, скажите что делать? проделать те же операции или ждать ответа по теме?

Создать свою тему нужно. Чужие инструкции нельзя выполнять.

[Andrey Docker]

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525

Проконсультируйте, пожалуйста:

1. Какие (согласно пункту 5, инструкции https://forum.kasperskyclub.ru/index.php?showtopic=48525) файлы необходимо прикрепить к письму запроса, в моем случае?

2. Вложение из вредоносного письма, и само письмо - не сохранено. Соответственно, прислать их не смогу. Имеются ли, при таком условии, шансы на расшифровку документов?

3. На момент заражения, антивируса от Касперского на компьютере не стояло. Подойдет ли, код активации, приобретенный и активированный позже?

Изменено 24 января, 2017 пользователем Andrey Docker

[mike 1]

1. Копию вредоносного письма в EML формате, содержимое папки SysWHist, несколько небольших зашифрованных файлов.

2. Тогда содержимое папки C:\FRST\Quarantine

3. См. FAQ по ссылке.

Изменено 24 января, 2017 пользователем mike 1