имена файлов зашифрованны something_ne@india.com_(id)

[Vich]

после выходных на рабочем компьютере, который остался включенным увидел что имена файлов приобрели вид:

 

something_ne@india.com_73657475702E696E69

 

на рабочем столе и в каждой папке присутствует файл:

 

HOW DECRIPT FILES.hta

 

Прочтя соседнюю тему воспользовался утилитой FRST64.

 

В прикрепленном addition, frst

 

Окажите помощь, в расшифровке.....

ransom.7z

[kmscom]

 внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

[Vich]

Результат выполнения AutoLogger-test в прикрепленном архиве.

 

drweb.cureit ничего не нашол......((((

 

Kaspersky Virus Removal Tool нашол 1 файл и поместил в карантин...

CollectionLog-2017.02.28-13.08.zip

Изменено 28 февраля, 2017 пользователем Vich

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Mikhail\AppData\Local\Temp\{70FED283-BF64-4D64-8A00-815A206ED96A}\{790908E6-E58D-4D78-B953-E36A12981B37}.tmp', '');
 QuarantineFile('C:\Users\Mikhail\AppData\Local\Temp\{70FED283-BF64-4D64-8A00-815A206ED96A}\{3A698592-3252-46F6-AB26-BD0985096D6D}.tmp', '');
 QuarantineFile('C:\Users\Mikhail\AppData\Local\Temp\{70FED283-BF64-4D64-8A00-815A206ED96A}\{DEB07AAD-FBA9-405D-AAFD-1046FAA9F46C}.tmp', '');
 QuarantineFile('C:\Users\Mikhail\AppData\Local\Temp\{70FED283-BF64-4D64-8A00-815A206ED96A}\{3E3F358D-9755-4611-B330-99BED068BAAB}.tmp', '');
 QuarantineFile('C:\Users\Mikhail\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW DECRIPT FILES.hta', '');
 QuarantineFile('C:\Users\Mikhail\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\HOW DECRIPT FILES.hta', '');
 DeleteFile('C:\Users\Mikhail\AppData\Local\Temp\{70FED283-BF64-4D64-8A00-815A206ED96A}\{790908E6-E58D-4D78-B953-E36A12981B37}.tmp', '32');
 DeleteFile('C:\Users\Mikhail\AppData\Local\Temp\{70FED283-BF64-4D64-8A00-815A206ED96A}\{3A698592-3252-46F6-AB26-BD0985096D6D}.tmp', '32');
 DeleteFile('C:\Users\Mikhail\AppData\Local\Temp\{70FED283-BF64-4D64-8A00-815A206ED96A}\{DEB07AAD-FBA9-405D-AAFD-1046FAA9F46C}.tmp', '32');
 DeleteFile('C:\Users\Mikhail\AppData\Local\Temp\{70FED283-BF64-4D64-8A00-815A206ED96A}\{3E3F358D-9755-4611-B330-99BED068BAAB}.tmp', '32');
 DeleteFile('C:\Users\Mikhail\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW DECRIPT FILES.hta', '32');
 DeleteFile('C:\Users\Mikhail\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\HOW DECRIPT FILES.hta', '32');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[thyrex]

Умудрились заразиться сразу двумя версиями одного вируса

 

+ Что в папках?

C:\totalcmd
C:\Intel
C:\$GetCurrent

 

[Vich]

ответ от newvirus@kaspersky.com  [KLAN-5895594029]:

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
{790908E6-E58D-4D78-B953-E36A12981B37}.tmp
{3A698592-3252-46F6-AB26-BD0985096D6D}.tmp
{DEB07AAD-FBA9-405D-AAFD-1046FAA9F46C}.tmp
{3E3F358D-9755-4611-B330-99BED068BAAB}.tmp
HOW DECRIPT FILES.hta
HOW DECRIPT FILES_0.hta

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

 

 

Отчеты  FRST.txt, Addition.txt, Shortcut.txt  во вложении

Addition.txt

FRST.txt

Shortcut.txt

[thyrex]

Сообщение №5 прочтите и дайте ответ.

[Vich]

 

Умудрились заразиться сразу двумя версиями одного вируса

 

+ Что в папках?

C:\totalcmd   

C:\Intel

C:\$GetCurrent

 

 

1- Total Commander 64 bit менеджер файлов...

2 - Логи после установки драйверов

3 - Логи после обновления на 10Вин

 

Знать-бы как/где умудрился? Вроде предохраняюсь...

Изменено 28 февраля, 2017 пользователем Vich

[thyrex]

Вход по RDP. Пароль смените.

 

В последних случаях с этим шифровальщиком на диске С появлялась папка Confused. Сам файл шифратора имел имя smsss.exe и при работе шифратора сам повреждался

[Vich]

Пароль заменю, не вопрос. Имена файлов расшифровать возможно?

[thyrex]

Имена файлов расшифровываются просто в случае с something_ne@india.com - там каждый символ заменен его кодом в 16-тиричном представлении и в начале имени добавлена почта для связи. А вот содержимое похоже стало шифроваться.

Пришлите файлы

C:\Users\Mikhail\Downloads\something_ne@india.com_D180D0B5D181D0BE3035372E706466
C:\Users\Mikhail\something_ne@india.com_6E74757365722E696E69

 

и содержимое папки C:\Confused

[Vich]

Запрошенные данные в прикрепленном архиве.

@india.7z

[thyrex]

Да, в этой версии файлы уже шифруются. В том числе и сам шифратор пострадал

[thyrex]

Пришлите образцы шифрованных файлов указанных типов - ориентироваться на окончание имени файла

2E706E67 (.png)

2E646F6378 (.docx)

2E6A7067 (.jpg)

[Vich]

Во вложении образцы.

MSfiice не пользуюсь.... OpenOffice если подскажите окончания имен файлов, выложу.

obraz_cript.7z