Файлы зашифрованы.

[mavl77]

Словил вирус. Файлы изображений, таблиц и офисных приложений сменили название на примерное следующее:

 

 email-ivanivanov34@aol.com.ver-CL 1.3.1.0.id-@@@@@78E1-B9D8.randomname-PRSTUUVWXXYYZZABCCCDEEFGHHHIJJ.LLL

 

Во всех папках появился файл README.txt с содержимым "to decrypt files write to this mail ivanivanov34@aol.com"

 

К компьютеру разрешено подключение удаленного помощника.

 

могу предоставить зашифрованный файл и его оригинал до взлома.

CollectionLog-2017.02.25-15.36.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\user1\Documents\x86\svchos3.vbs','');
 DeleteFile('C:\Users\user1\Documents\x86\svchos3.vbs','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[Griffon]

Доброго времени суток!

Поймал тот же зловред, с тем же адресом, причём 26 февраля. К больному компу доступ только удалённо, поэтому сделать лог Autologger'ом не получается. Есть другой способ предоставить логи? Дешифровка хотя бы в теории возможна?

Спасибо.

[Sandor]

@Griffon, здравствуйте!

 

Не пишите в чужой теме, создайте свою.

К больному компу доступ только удалённо

Если возможно подключиться через Teamviewer, соберите и прикрепите логи.

[mavl77]

[KLAN-5882237306]

 

Получил следующий ответ 

 

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
Check_Browsers_LNK.log
HiJackThis.log
info.txt
log.txt
virusinfo_syscheck.zip/avz_sysinfo.htm
virusinfo_syscheck.zip/avz_sysinfo.xml
virusinfo_syscure.zip/avz_sysinfo.htm
virusinfo_syscure.zip/avz_sysinfo.xml

В файлах найдены вредоносные программы
svchos3.vbs - HEUR:Trojan.Script.Generic

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

[Sandor]

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Эти логи следует прикрепить здесь к сообщению также, как в Вашем первом сообщении.

[mavl77]

прикрепляю

CollectionLog-2017.02.28-11.30.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[mavl77]

все сделано

frst file.rar

[thyrex]

2017-02-25 04:27 - 2017-01-31 11:10 - 01750706 ___SH C:\Users\user1\Documents\x86.exe

2017-02-25 04:27 - 2016-07-22 19:22 - 00000108 ___SH C:\Users\user1\Documents\start.vbs

2017-02-25 04:27 - 2016-07-21 01:53 - 00000044 ___SH C:\Users\user1\Documents\hide-.cmd

2017-02-25 04:26 - 2017-02-25 04:26 - 00000000 ___SH C:\Users\user1\Documents\Default.rdp

заархивируйте с паролем virus, выложите на обменник без капчи и времени ожидания и пришлите ссылку мне в личные сообщения

 

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
ShortcutTarget: svchos3 - Ярлык.lnk -> C:\Users\user1\Documents\x86\svchos3.vbs (No File)
Toolbar: HKU\S-1-5-21-1274803721-940511295-762469951-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
2017-02-24 22:35 - 2017-02-24 22:35 - 00000074 _____ C:\Users\user1\README.txt
2017-02-24 22:35 - 2017-02-24 22:35 - 00000074 _____ C:\Users\user1\Downloads\README.txt
2017-02-24 22:35 - 2017-02-24 22:35 - 00000074 _____ C:\Users\user1\Desktop\README.txt
2017-02-24 22:35 - 2017-02-24 22:35 - 00000074 _____ C:\Users\user1\AppData\Roaming\README.txt
2017-02-24 22:35 - 2017-02-24 22:35 - 00000074 _____ C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-02-24 22:35 - 2017-02-24 22:35 - 00000074 _____ C:\Users\user1\AppData\Local\README.txt
2017-02-24 22:35 - 2017-02-24 22:35 - 00000074 _____ C:\Users\sefer\README.txt
2017-02-24 22:35 - 2017-02-24 22:35 - 00000074 _____ C:\Users\sefer\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-02-24 22:35 - 2017-02-24 22:35 - 00000074 _____ C:\Users\sefer\AppData\Local\README.txt
2017-02-24 22:35 - 2017-02-24 22:35 - 00000074 _____ C:\Users\README.txt
2017-02-24 22:35 - 2017-02-24 22:35 - 00000074 _____ C:\README.txt
2017-02-24 22:22 - 2017-02-24 22:35 - 00000074 _____ C:\Users\sefer\Documents\README.txt
2017-02-24 22:22 - 2017-02-24 22:22 - 00000074 _____ C:\Users\sefer\Downloads\README.txt
2017-02-24 21:56 - 2017-02-24 21:56 - 00000074 _____ C:\Users\sefer\Desktop\README.txt
2017-02-24 21:53 - 2017-02-24 22:35 - 00000074 _____ C:\Users\Все пользователи\README.txt
2017-02-24 21:53 - 2017-02-24 22:35 - 00000074 _____ C:\Users\Public\Desktop\README.txt
2017-02-24 21:53 - 2017-02-24 22:35 - 00000074 _____ C:\ProgramData\README.txt
2017-02-24 21:53 - 2017-02-24 22:35 - 00000074 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\sefer\AppData\Roaming\README.txt
2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\Public\README.txt
2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\Public\Downloads\README.txt
2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\Default\README.txt
2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\Default\Downloads\README.txt
2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\Default\Documents\README.txt
2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\Default\Desktop\README.txt
2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\Default\AppData\Roaming\README.txt
2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\Default\AppData\Local\README.txt
2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\Default User\Downloads\README.txt
2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\Default User\Documents\README.txt
2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\Default User\Desktop\README.txt
2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\Default User\AppData\Roaming\README.txt
2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\Default User\AppData\Local\README.txt
2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\admin1\README.txt
2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\admin1\Downloads\README.txt
2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\admin1\Documents\README.txt
2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\admin1\Desktop\README.txt
2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\admin1\AppData\Roaming\README.txt
2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\admin1\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Users\admin1\AppData\Local\README.txt
2017-02-24 21:53 - 2017-02-24 21:53 - 00000074 _____ C:\Program Files\README.txt
2017-02-24 21:44 - 2017-02-24 21:44 - 00000074 _____ C:\Program Files\Common Files\README.txt
Task: {63D7B663-FF62-4E5F-8F6C-8C6FF16B126C} - \system -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[mavl77]

вот ссылка на архив - [удалено]

Fixlog.txt

[thyrex]

Файлы, которые присылали, удаляйте вручную.

 

При наличии коммерческой лицензии на любой из продуктов Лаборатории Касперского создайте запрос в техподдержку