Шифровальщик файлов doc, xls.

[karslon]

Пользователь скачал архив с приложением, запустил его. после этого все файлы тектовые закодировались. Само письмо с вирусом было удалено. Имена файлов остались те же. На рабочем столе пользователя и в корнях дисков появился скрытый файл ruf40-64kkg-fktxk-goath-xxtaf-extrf-rfext-rakxy.key

 

проделал проверку ПК утилитами 

• Kaspersky Virus Removal Tool 2015;
• Dr.Web CureIt!.

, было найдено несколько вирусов

 

 

CollectionLog-2017.01.23-13.38.zip

Addition.txt

FRST.txt

[Sandor]

Здравствуйте!

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
HKU\S-1-5-21-746137067-1343024091-682003330-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=821272
CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=821268"
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7BA64C4033-57B4-4D5D-B8CD-FAECD122F5D1%7D&gp=821269
CHR DefaultSearchKeyword: Default -> mail.ru_
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
CHR Extension: (Mail.Ru) - C:\Documents and Settings\Оля\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\bgcifljfapbhgiehkjlckfjmgeojijcb [2016-05-24]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Documents and Settings\Оля\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\bgknpfancpeamejmcooedljjnaddldhg [2016-05-10]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Documents and Settings\Оля\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\fopefgobkmblbipkdebgnnlclchlakom [2015-03-17]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Documents and Settings\Оля\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gdknicmnhbaajdglbinpahhapghpakch [2014-12-16]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Documents and Settings\Оля\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gojnmemgacliifihcagijaadgpeioooa [2016-11-30]
CHR Extension: (Mail.Ru) - C:\Documents and Settings\Оля\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ilamgbdaebkbpkkmfmmfbnaamkhijdek [2016-05-24]
CHR Extension: (Mail.Ru) - C:\Documents and Settings\Оля\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\jedelkhanefmcnpappfhachbpnlhomai [2014-12-16]
CHR Extension: (Mail.Ru) - C:\Documents and Settings\Оля\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lanabbpahpjnaljebnpgkjemcbkepiak [2016-05-24]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Documents and Settings\Оля\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lbjjfiihgfegniolckphpnfaokdkbmdm [2016-05-24]
CHR Extension: (Mail.Ru) - C:\Documents and Settings\Оля\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\njabjmhinndphfnbjehdalkphpdmepli [2015-03-17]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Documents and Settings\Оля\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj [2016-11-17]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Documents and Settings\Оля\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ofdgafmdegfkhfdfkmllfefmcmcjllec [2016-05-24]
CHR Extension: (Mail.Ru) - C:\Documents and Settings\Оля\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\phkdcinmmljblpnkohlipaiodlonpinf [2016-11-30]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Documents and Settings\Оля\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pnooffjhclkocplopffdbcdghmiffhji [2016-10-21]
2017-01-18 12:32 - 2017-01-18 12:32 - 00001088 ___RH C:\RUF40-64KKG-FKTXK-GOATH-XXTAF-EXTRF-RFEXT-RAKXY.KEY
2017-01-18 12:32 - 2017-01-18 12:32 - 00001088 ___RH C:\Documents and Settings\Оля\Рабочий стол\RUF40-64KKG-FKTXK-GOATH-XXTAF-EXTRF-RFEXT-RAKXY.KEY
2017-01-18 12:32 - 2017-01-18 12:32 - 00001088 ___RH C:\Documents and Settings\Оля\Application Data\RUF40-64KKG-FKTXK-GOATH-XXTAF-EXTRF-RFEXT-RAKXY.KEY
2017-01-18 12:00 - 2017-01-18 12:32 - 47949584 _____ C:\Documents and Settings\Оля\Application Data\3825214092
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[karslon]

Добрый день!

 

ClearLNK-24.01.2017_09-41.log

Fixlog.txt

[Sandor]

Следы адвари и вымогателя очищены. С расшифровкой помочь не сможем.

[karslon]

Спасибо.

[Эрик Туткушев]

Зашифровались файлы. Вирус удалил. Но сохранил key папку и остальное от вируса есть ли возможность вытащить ключ из него? Дешифровщик нашел своими усилиями с самого сайта вымогателей

KEY файл есть.

RU237-47HKG-RRTXG-GXTAX-TOFGO-FTXGE-ROTRH-HEYYY.HTML

[Sandor]

@Эрик Туткушев, здравствуйте!

 

Не пишите в чужой теме. Создайте свою, прочтите и выполните Порядок оформления запроса о помощи