Зашифрованы файлы без смены расширения

9 февраля, 2017

Пользователю пришло письмо, был запущен файл "Заявка на участие_условие тендера.zip"

прилагаю файл - упакован rar с паролем virus

Прошло шифрование файлов на машине и на серверной папке, подключенной как сетевой диск к его машине. Убедительные просьбы не заходить в серверную папку действий не возымели и еще 1 user забрал оттуда нужные ему файлы, что привело к заражению и его машины.

В папке C:\users\A.Lohmakov\appdata\roaming появились 3 файла датированные одним временем

1 из них размером 75Mb, он не сжимается архивом, и размер остается примерно таким же, 2 других прилагаю roaming.rar (пароль virus)

Также - образец зашифрованного документа Корректировочная_спецификация_УУКБ00406_От_19_декабря.rar (пароль virus)

Проверка kaspersky endpoint security 10.2.5.3201 ничего не обнаружил

Kaspersky virus removal tool 2015 Также ничего не обнаружил

Утилита Autologger запущена - результат прилагаю

Котировочная_спецификация_УУКБ00406_От_19_декабря.rar

CollectionLog-2017.02.09-11.23.zip

Изменено 9 февраля, 2017 пользователем Sandor
Убрал подозрительные файлы

9 февраля, 2017

Здравствуйте!

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

9 февраля, 2017

Файлы выгрузил

Addition.txt

FRST.txt

Shortcut.txt

9 февраля, 2017

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Startup: C:\Users\A.Lohmakov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RU5FE-DFXXZ-FOATX-GARKE-TKZOT-XKXHX-TFREK-RTFAE-HYYYY.html [2017-02-08] ()
CHR Extension: (No Name) - C:\Users\A.Lohmakov\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2016-08-01]
CHR Extension: (No Name) - C:\Users\A.Lohmakov\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2016-08-01]
CHR Extension: (No Name) - C:\Users\A.Lohmakov\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-08-01]
CHR Extension: (No Name) - C:\Users\A.Lohmakov\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-08-01]
CHR Extension: (No Name) - C:\Users\A.Lohmakov\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2016-08-01]
CHR Extension: (No Name) - C:\Users\A.Lohmakov\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-08-01]
CHR Extension: (Яндекс) - C:\Users\A.Lohmakov\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcabopfgniaacoiagjfdoiicncehagda [2016-08-02]
CHR Extension: (No Name) - C:\Users\A.Lohmakov\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2016-08-01]
2017-02-08 10:11 - 2017-02-08 10:11 - 00016727 _____ C:\Users\A.Lohmakov\AppData\Roaming\RU5FE-DFXXZ-FOATX-GARKE-TKZOT-XKXHX-TFREK-RTFAE-HYYYY.html
2017-02-08 10:11 - 2017-02-08 10:11 - 00001088 _____ C:\Users\A.Lohmakov\AppData\Roaming\RU5FE-DFXXZ-FOATX-GARKE-TKZOT-XKXHX-TFREK-RTFAE-HYYYY
2017-02-08 09:53 - 2017-02-08 12:46 - 00040049 _____ C:\Users\A.Lohmakov\Downloads\Kotirovochnaya_spetsifikatsiya_UUKB00407_Ot_19_dekabrya.xlsx
2017-02-08 09:35 - 2017-02-08 10:11 - 77333392 _____ C:\Users\A.Lohmakov\AppData\Roaming\1592413099
FirewallRules: [{02242F9C-AFCF-4C42-9E7E-08A1D169265B}] => C:\Users\A.Lohmakov\AppData\Local\MediaGet2\mediaget.exe
FirewallRules: [{FA54A29E-1AD2-4300-92CF-E8F772BC7E26}] => C:\Users\A.Lohmakov\AppData\Local\MediaGet2\mediaget.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено 9 февраля, 2017 пользователем Sandor

9 февраля, 2017

Ответ

Fixlog.txt

9 февраля, 2017

На момент заражения эта настройка была включена?

Создайте запрос на расшифровку.

9 февраля, 2017

Контроль активности был включен, без указанных расширений файлов

Зарегистрировался в личном кабинете Kaspersky Company Account меню другое совсем, подскажите как отправить запрос на расшифровку

Контроль активности был включен, без указанных расширений файлов

справился

10 февраля, 2017

Зарегистрировался в личном кабинете Kaspersky Company Account меню другое совсем, подскажите как отправить запрос на расшифровку

Ну, видимо придётся методом тыка искать, поскольку у меня нет учетки там.

Зашифрованы файлы без смены расширения

Рекомендуемые сообщения

_Василий_

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

_Василий_

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

_Василий_

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

_Василий_

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum