Шифровальщик зашифровал файлы doc, xls, jpg, pdf,psd,cdr

[ZEBR]

Добрый день!

Сегодня из прикрепленного к почте архива поймали шифровальщика (касперским просканировал систему-нашел trojan-ransom.win32.spora.h). Имена файлов и расширение не изменились, поменялась только дата файла. На рабочем столе никаких файлов не создано, никаких окошек не вылезло. 

Скачал программу Farbar Recovery Scan Tool, просканировал. Файлы FRST.txt и Addition.txt прикрепляю. Так же прикрепляю один из зашифрованных файлов.

Addition.txtFRST.txt2017_01_20_Каменка_03.xlsx

Shortcut.txt

 

Файлы протоколов AutoLogger

CollectionLog-2017.01.20-21.32.zip

 

Изменено 20 января, 2017 пользователем ZEBR

[thyrex]

Порядок оформления запроса о помощи

[ZEBR]

Все исправил, сделал как написано в порядке оформления запроса на помощь

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  HKU\S-1-5-21-2845829631-4235351066-1285699448-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1431940005&z=361842949c8464150f31517gazccbgdt9z8ece7e0q&from=ient05180&uid=TOSHIBAXMQ01ABD075_82QAP1E1TXX82QAP1E1T&q={searchTerms}
  HKU\S-1-5-21-2845829631-4235351066-1285699448-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1431940005&z=361842949c8464150f31517gazccbgdt9z8ece7e0q&from=ient05180&uid=TOSHIBAXMQ01ABD075_82QAP1E1TXX82QAP1E1T&q={searchTerms}
  SearchScopes: HKU\S-1-5-21-2845829631-4235351066-1285699448-1002 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
  SearchScopes: HKU\S-1-5-21-2845829631-4235351066-1285699448-1002 -> {0388404D-6072-4CEB-B521-8F090FEAEE57} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
  SearchScopes: HKU\S-1-5-21-2845829631-4235351066-1285699448-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
  SearchScopes: HKU\S-1-5-21-2845829631-4235351066-1285699448-1002 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
  SearchScopes: HKU\S-1-5-21-2845829631-4235351066-1285699448-1002 -> {A950CE68-FF04-4A02-98F6-5BC2C45FA072} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
  SearchScopes: HKU\S-1-5-21-2845829631-4235351066-1285699448-1002 -> {A9C0CCCC-68E6-45D4-A401-76DB48DDBD86} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
  SearchScopes: HKU\S-1-5-21-2845829631-4235351066-1285699448-1002 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
  SearchScopes: HKU\S-1-5-21-2845829631-4235351066-1285699448-1002 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
  FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nb5ijozn.default -> delta-homes
  StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera x64\Opera.exe hxxp://www.delta-homes.com/?type=sc&ts=1431940005&z=361842949c8464150f31517gazccbgdt9z8ece7e0q&from=ient05180&uid=TOSHIBAXMQ01ABD075_82QAP1E1TXX82QAP1E1T
  2017-01-20 08:20 - 2017-01-20 08:20 - 00001088 ___RH C:\Users\1\AppData\Roaming\RUA5D-57HEE-OTOZG-GTXAE-ETAXO-ATGOE-XOTXR-OEYYY.KEY
  2017-01-20 08:06 - 2017-01-20 08:21 - 10633608 _____ C:\Users\1\AppData\Roaming\2084575697
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

[ZEBR]

Сделал всё, как описано выше, файл прикрепляю.

Fixlog.txt

[mike 1]

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525

[ZEBR]

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525

Троян собрал все мои пароли и отправил распространителям вируса?

Мои файлы могут поддаться расшифровке?

[mike 1]

1. А почему бы и нет? Могут например учетные данные от корпоративной почты увести, а потом рассылать шифровальщика от вашего имени. Большинство ведь читают не глядя письма и запускают что попало, как вы например.

 

2. В техподдержке скажут.

Изменено 22 января, 2017 пользователем mike 1