зашифрованы файлы

[Mikhail Dubrovin]

Вчера около 15:40 получили и открыли зараженное письмо пришедшее по электронной почте. Сегодня утром все файлы на компьютере оказались зашифрованы.

Выполнили проверку программой Kaspersky Rescue Disk, был обнаружен вирус Trojan.Win32.Fsysna.eftk

Прошу помочь в очистке и расшифровке.
 

CollectionLog-2017.02.15-10.01.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\program files\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '');
 DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '32');
 DeleteFileMask('c:\program files\zaxar', '*', true);
 DeleteDirectory('c:\program files\zaxar');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(2);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Mikhail Dubrovin]

Здравствуйте!

 

Скрипты выполнил, файл quarantine.zip отправил, пришел ответ что файлы в письме отсутствуют, хотя файл был приложен и он запаролен, в нем только 2 ini файла, номер ответа [KLAN-5801065117]

 

 

AdwCleanerS0.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Mikhail Dubrovin]

выполнено

AdwCleanerC0.txt

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2017-02-15 07:58 - 2017-02-15 07:58 - 05292054 _____ C:\Documents and Settings\rudina.m.v\Application Data\82D651C282D651C2.bmp
2017-02-15 07:50 - 2017-02-15 07:50 - 00004162 _____ C:\Documents and Settings\rudina.m.v\Рабочий стол\README9.txt
2017-02-15 07:50 - 2017-02-15 07:50 - 00004162 _____ C:\Documents and Settings\rudina.m.v\Рабочий стол\README8.txt
2017-02-15 07:50 - 2017-02-15 07:50 - 00004162 _____ C:\Documents and Settings\rudina.m.v\Рабочий стол\README7.txt
2017-02-15 07:50 - 2017-02-15 07:50 - 00004162 _____ C:\Documents and Settings\rudina.m.v\Рабочий стол\README6.txt
2017-02-15 07:50 - 2017-02-15 07:50 - 00004162 _____ C:\Documents and Settings\rudina.m.v\Рабочий стол\README5.txt
2017-02-15 07:50 - 2017-02-15 07:50 - 00004162 _____ C:\Documents and Settings\rudina.m.v\Рабочий стол\README4.txt
2017-02-15 07:50 - 2017-02-15 07:50 - 00004162 _____ C:\Documents and Settings\rudina.m.v\Рабочий стол\README3.txt
2017-02-15 07:50 - 2017-02-15 07:50 - 00004162 _____ C:\Documents and Settings\rudina.m.v\Рабочий стол\README2.txt
2017-02-15 07:50 - 2017-02-15 07:50 - 00004162 _____ C:\Documents and Settings\rudina.m.v\Рабочий стол\README10.txt
2017-02-15 07:50 - 2017-02-15 07:50 - 00004162 _____ C:\Documents and Settings\rudina.m.v\Рабочий стол\README1.txt
2017-02-15 07:50 - 2017-02-15 07:50 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\System32
2017-02-14 15:46 - 2017-02-15 12:35 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
DomainProfile\AuthorizedApplications: [C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe] => Enabled:百度高速下载器
StandardProfile\AuthorizedApplications: [C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe] => Enabled:百度高速下载器
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

При сохранении выберите кодировку Юникод!

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Mikhail Dubrovin]

готово

Fixlog.txt

[Sandor]

Создайте запрос на расшифровку.

[Mikhail Dubrovin]

Запрос на расшифровку уже сделал, ответили следующее:

 

Файлы были зашифрованы троянской программой Trojan-Ransom.Win32.Shade.

В настоящее время, к сожалению, нет возможности расшифровать файлы.

 

Зашифрованные файлы сохранили, возможно средство будет найдено позднее.

 

Большое спасибо за помощь и уделенное время!

[Sandor]

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Mikhail Dubrovin]

готово

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Расширенная поддержка закончилась 08.04.2014, Ваша операционная система может быть уязвима к новым типам угроз

Internet Explorer 6.0.2900.5512 Внимание! Скачать обновления

--------------------------- [ OtherUtilities ] ----------------------------

7-Zip 9.20 v.9.20.00.0 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

--------------------------------- [ IM ] ----------------------------------

Skype™ 5.9 v.5.9.115 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Reader X - Russian v.10.0.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.

----------------------------- [ EmailClient ] -----------------------------

The Bat! Professional v5.0.20 v.5.0.20 Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------

Google Toolbar for Internet Explorer v.1.0.0 << Скрыта Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

Weatherbar v.1.3.3 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

 

 

Проверьте включена ли эта настройка.

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

[Mikhail Dubrovin]

Рекомендации выполнены,

Спасибо!