Вирус-шифровальщик no_more_ransom

[Dima_Mitushev]

Добрый вечер.

Наша небольшая компания просит помощи.

7-го февраля 2017 года на электронный почтовый ящик нашей компании пришло письмо от какого-то «финансового отдела» (так и было написано «финансовый отдел»). В письме говорилось о том, что наша фирма должна заплатить деньги по какому-то договору, в течение 14 дней, в противном случае будут начислены проценты. В конце письма было сказано о необходимости перейти по ссылке, для получения подробной информации. Сомневались, переходить или нет, в итоге 8 февраля кликнули по ссылке. Приблизительно через 3 часа экране появилась сообщение (ниже будет текст данного сообщения) и все файлы были переименованы в «абро-кодабру» и им было присвоено расширение no_more_ransom.

 

Текст сообщения:

«Ваши фaйлы были зашифpoвaны.

Чmoбы рacшифpoвaть иx, Вам необxoдимо отпpавuть kод:

C7581932F40E0CCCFA18|713|6|70

нa элekmронный адpec 2Lynness.Taftfera1990@gmail.com .

Дaлеe вы получите все необхoдимыe инстрyкциu.

Пoпыmки pаcшuфрoвaть самoстоятeльнo нe прuведyт ни к чeму, kроме безвозвpaтнoй пomеpu инфopмацuu.

Если вы всё жe xоmumе noпыmaться, тo nрeдвapиmeльнo cделaйте peзepвные kоnuu фaйлов, uначe в слyчаe

ux uзмeненuя расшuфровka cтанеm невoзможнoй нu nри kaкиx уcловияx.

Ecли вы нe nолучили omвema nо вышеуkaзaннoмy aдреcy в тeчение 48 чacов (u mольko в эmом случaе!),

вocnoльзуйmeсь формой обpаmнoй связu. Это можно cдeлamь двyмя спocобaмu:

1) Cкaчaйmе и уcтaнoвuтe Tor Browser пo сcылke: https://www.torproje...ad-easy.html.en

B адpeснoй cтрокe Tor Browser-a ввeдuте aдpeс:

http://cryptsen7fo43rr6.onion/

и нaжмиmе Enter. 3arpyзuтся cmpaницa c фoрмой обpaтнoй связu.

2) В любом браузерe пeрейдumе no oднoмy uз адреcов:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/»

 

Подскажите, пожалуйста, что делать? Заранее огромное спасибо!

Немного опережая события, хотел бы уточнить, все последующие действия необходимо делать на компьютере, на котором произошло заражение, или можно снять жесткий диск и все сделать на другом компьютере?

[kmscom]

внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

 

 

все последующие действия необходимо делать на компьютере, на котором произошло заражение,

да

[Dima_Mitushev]

Скачал и выполнил  AutoLogger.exe. Высылаю файл  - zip-архив с собранными логами, и на всякий пожарный файлы: report1.log, report2.log.

 

CollectionLog-2017.02.20-16.47.zip

report1.log

report2.log

[Roman_Five]

 

 

Сомневались, переходить или нет, в итоге 8 февраля кликнули по ссылке.

кликнули ещё 7-го
 

2017-02-07 13:44:46

приложите логи FRST

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

[Dima_Mitushev]

 

Сомневались, переходить или нет, в итоге 8 февраля кликнули по ссылке.

кликнули ещё 7-го

 

2017-02-07 13:44:46

приложите логи FRST

http://forum.kasperskyclub.ru/index.php?showtopic=7611#entry647696

 

Здравствуйте! Прикрепил логи. Надеюсь прикрепились, если не прикрепились дайте пожалуйста знать.

Спасибо.

Addition.txt

FRST.txt

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
C:\Users\Tehnolog\AppData\Local\Microsoft\OneDrive\17.3.5892.0626\FileSyncShell.dll -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => C:\Users\Tehnolog\AppData\Local\Microsoft\OneDrive\17.3.5892.0626\FileSyncShell.dll -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => C:\Users\Tehnolog\AppData\Local\Microsoft\OneDrive\17.3.5892.0626\FileSyncShell.dll -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\Tehnolog\AppData\Local\Microsoft\OneDrive\17.3.5892.0626\FileSyncShell.dll -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\Tehnolog\AppData\Local\Microsoft\OneDrive\17.3.5892.0626\FileSyncShell.dll -> No File
2017-02-08 09:43 - 2017-02-08 14:55 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2017-02-08 09:43 - 2017-02-08 14:55 - 00000000 __SHD C:\ProgramData\Csrss
2017-02-08 09:34 - 2017-02-08 09:34 - 05292054 _____ C:\Users\Tehnolog\AppData\Roaming\F7D23985F7D23985.bmp
2017-02-08 09:34 - 2017-02-08 09:34 - 00004154 _____ C:\Users\Tehnolog\Desktop\README9.txt
2017-02-08 09:34 - 2017-02-08 09:34 - 00004154 _____ C:\Users\Tehnolog\Desktop\README8.txt
2017-02-08 09:34 - 2017-02-08 09:34 - 00004154 _____ C:\Users\Tehnolog\Desktop\README7.txt
2017-02-08 09:34 - 2017-02-08 09:34 - 00004154 _____ C:\Users\Tehnolog\Desktop\README6.txt
2017-02-08 09:34 - 2017-02-08 09:34 - 00004154 _____ C:\Users\Tehnolog\Desktop\README5.txt
2017-02-08 09:34 - 2017-02-08 09:34 - 00004154 _____ C:\Users\Tehnolog\Desktop\README4.txt
2017-02-08 09:34 - 2017-02-08 09:34 - 00004154 _____ C:\Users\Tehnolog\Desktop\README3.txt
2017-02-08 09:34 - 2017-02-08 09:34 - 00004154 _____ C:\Users\Tehnolog\Desktop\README2.txt
2017-02-08 09:34 - 2017-02-08 09:34 - 00004154 _____ C:\Users\Tehnolog\Desktop\README10.txt
2017-02-07 13:44 - 2017-02-08 13:35 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-02-07 13:44 - 2017-02-08 13:35 - 00000000 __SHD C:\ProgramData\Windows
CustomCLSID: HKU\S-1-5-21-4183040299-1659590294-344669129-1000_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\Tehnolog\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-4183040299-1659590294-344669129-1000_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\Tehnolog\AppData\Local\Google\Update\1.3.31.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-4183040299-1659590294-344669129-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\Tehnolog\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-4183040299-1659590294-344669129-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Tehnolog\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-4183040299-1659590294-344669129-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Tehnolog\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-4183040299-1659590294-344669129-1000_Classes\CLSID\{F8071786-1FD0-4A66-81A1-3CBE29274458}\InprocServer32 -> C:\Users\Tehnolog\AppData\Local\Microsoft\OneDrive\17.3.5892.0626\amd64\FileSyncApi64.dll => No File
Task: {010A27B2-88B8-4AA1-B975-B4F499338416} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {019C0AA2-878F-4A9D-9125-162100AD4A19} - \CCleanerSkipUAC -> No File <==== ATTENTION
Task: {135E2CDC-E763-4491-BE8A-BEA72603EAFB} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
Task: {2B0269A2-7F4D-4DA7-92F8-540B35B0998F} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> No File <==== ATTENTION
Task: {3D38454A-3D56-4BCC-BC09-70D812F3E7A4} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {5568002A-142B-4FC5-8B3E-09F07DBD407A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {5C7DACFF-07D3-41B2-BE6A-9DC759C97150} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {766B7E7A-BF28-4685-81BB-76E83AC29802} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {7DCCD6E4-223B-4171-BD64-E9F460234312} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {8B0A780C-8743-4683-89E8-A55AA544DE69} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {8F4D3E8C-396B-4269-9DFC-68669EB8F98A} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {93EE4FF0-3552-4387-A6C0-F1DC6D5C77D0} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION
Task: {A3C830C8-AAF8-47CB-B688-68118158B8B9} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {ADCD65F4-CC42-49F4-B879-08E105679781} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {B0D09780-2233-4615-9823-AF21825D5FCE} - \Games\UpdateCheck_S-1-5-21-4183040299-1659590294-344669129-1000 -> No File <==== ATTENTION
Task: {C832E769-DFDF-4B3F-844B-8C4D808DCB84} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {E52966F9-3FBB-4B60-AC16-D53376C956AC} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {FF78689A-CA74-496B-844E-B22302F818D5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[Dima_Mitushev]

Прикрепил файл fixlog.txt

Fixlog.txt

[thyrex]

С расшифровкой помочь не сможем

[Dima_Mitushev]

Спасибо большое за помощь. Жаль, что не удалось расшифровать.

Что делать дальше, переустанавливать систему или можно что-то еще сделать?

[thyrex]

Активного шифратора нет, поэтому смысла в переустановке тоже нет.

Если файлы не важны и обращаться к злодеям за покупкой дешифратора не планируете, то можно просто удалить всю зашифрованную информацию, чтобы освободилось место на дисках.