Дешифровка шифровальщик Trojan.Encoder.10354

[Den_93rus]

Доброго времени суток! Открыв вложение в письме, поймали шифровальщика "Trojan.Encoder.10354" название выдал CureIT. На всех дисках папки срылись, а вместо них ярлыки, которые ссылаются на объект "C:\Windows\system32\cmd.exe /c start explorer.exe "для проекта" & type "1b148e305ea2a45f.exe" > "%temp%\1b148e305ea2a45f.exe" && "%temp%\1b148e305ea2a45f.exe"" данный экзешник, скрытый, есть и на рабочем столе. Файлы не открываются, офис и акробат выдает что файл поврежден. После загрузки ОС открывается страница spora.biz, предлагая расшифровать все за 140$. Попробовал для проверки расшифровать один файл, скачал расшифрованный файл, открывается без проблем.

Собрал логи программой AutoLogger.exe (во вложении)

Подскажите, есть ли возможность восстановить файлы?

CollectionLog-2017.02.28-20.04.zip

Изменено 28 февраля, 2017 пользователем thyrex

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\ProgramData\wintools\WintoolUprI.exe','');
 QuarantineFile('C:\Users\USER\AppData\Roaming\WinSnare\WinSnare.dll','');
 DeleteService('iSafeService');
 SetServiceStart('ed2kidle', 4);
 SetServiceStart('FirefoxU', 4);
 DeleteService('FirefoxU');
 DeleteService('ed2kidle');
 QuarantineFile('C:\Program Files (x86)\Baghair\Application\chrome_child.dll','');
 QuarantineFile('C:\Program Files (x86)\Baghair\Application\chrome.dll','');
 TerminateProcessByName('c:\program files (x86)\firefox\bin\firefoxupdate.exe');
 QuarantineFile('c:\program files (x86)\firefox\bin\firefoxupdate.exe','');
 TerminateProcessByName('c:\program files (x86)\amulec1\ed2k.exe');
 QuarantineFile('c:\program files (x86)\amulec1\ed2k.exe','');
 DeleteFile('c:\program files (x86)\amulec1\ed2k.exe','32');
 DeleteFile('c:\program files (x86)\firefox\bin\firefoxupdate.exe','32');
 DeleteFile('C:\Program Files (x86)\Baghair\Application\chrome.dll','32');
 DeleteFile('C:\Program Files (x86)\Baghair\Application\chrome_child.dll','32');
 DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe','32');
 DeleteFile('C:\Users\USER\AppData\Roaming\WinSnare\WinSnare.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinSnare\Parameters','ServiceDll');
 DeleteFile('C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RU794-6CGAK-TROAT-ZTEFO-TRZZZ-ZTREE-AYYYY.html','32');
 DeleteFile('C:\Windows\system32\Tasks\Milimili','64');
 DeleteFile('C:\ProgramData\wintools\WintoolUprI.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\WinTOOL','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[Den_93rus]

Ответ:

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
mail_ru_attachments.htm

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

 

KLAN-5897721070

CollectionLog-2017.02.28-22.08.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Den_93rus]

Результат во вложении

FRST.zip

[thyrex]

Я правильно полагаю, что эти ярлыки Вам неизвестны, судя по одинаковому времени их создания?

2017-02-28 10:31 - 2017-02-28 10:31 - 00000932 _____ C:\Program Files (x86).lnk

2017-02-28 10:31 - 2017-02-28 10:31 - 00000920 _____ C:\Program Files.lnk

2017-02-28 10:31 - 2017-02-28 10:31 - 00000918 _____ C:\PortableSoft.lnk

2017-02-28 10:31 - 2017-02-28 10:31 - 00000918 _____ C:\My downloads.lnk

2017-02-28 10:31 - 2017-02-28 10:31 - 00000916 _____ C:\SV.RU-M.ORG.lnk

2017-02-28 10:31 - 2017-02-28 10:31 - 00000910 _____ C:\PerfLogs.lnk

2017-02-28 10:31 - 2017-02-28 10:31 - 00000908 _____ C:\Windows.lnk

2017-02-28 10:31 - 2017-02-28 10:31 - 00000904 _____ C:\Users.lnk

2017-02-28 10:31 - 2017-02-28 10:31 - 00000904 _____ C:\Intel.lnk

2017-02-28 10:31 - 2017-02-28 10:31 - 00000904 _____ C:\Games.lnk

2017-02-28 10:31 - 2017-02-28 10:31 - 00000902 _____ C:\Temp.lnk

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\...\Winlogon: [Shell]  [0 ] () <=== ATTENTION
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKU\S-1-5-21-3124263019-2915522535-2295681931-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.startpageing123.com/?type=hp&ts=1487662284&z=e015d02b3d7d7e792932cffg3zbb9maqcqbo5odb1w&from=che0812&uid=ST1000DM003-1CH162_S1DHARVEXXXXS1DHARVE
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.startpageing123.com/?type=hp&ts=1487662284&z=e015d02b3d7d7e792932cffg3zbb9maqcqbo5odb1w&from=che0812&uid=ST1000DM003-1CH162_S1DHARVEXXXXS1DHARVE
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1482742001&z=23e2aa791c2cf81c0095348g6z4bco4mazeo6e2e6g&from=archer1028&uid=ST1000DM003-1CH162_S1DHARVEXXXXS1DHARVE&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.startpageing123.com/?type=hp&ts=1487662284&z=e015d02b3d7d7e792932cffg3zbb9maqcqbo5odb1w&from=che0812&uid=ST1000DM003-1CH162_S1DHARVEXXXXS1DHARVE
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.startpageing123.com/?type=hp&ts=1487662284&z=e015d02b3d7d7e792932cffg3zbb9maqcqbo5odb1w&from=che0812&uid=ST1000DM003-1CH162_S1DHARVEXXXXS1DHARVE
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1482742001&z=23e2aa791c2cf81c0095348g6z4bco4mazeo6e2e6g&from=archer1028&uid=ST1000DM003-1CH162_S1DHARVEXXXXS1DHARVE&q={searchTerms}
HKU\S-1-5-21-3124263019-2915522535-2295681931-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1482742001&z=23e2aa791c2cf81c0095348g6z4bco4mazeo6e2e6g&from=archer1028&uid=ST1000DM003-1CH162_S1DHARVEXXXXS1DHARVE&q={searchTerms}
HKU\S-1-5-21-3124263019-2915522535-2295681931-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.startpageing123.com/?type=hp&ts=1487662284&z=e015d02b3d7d7e792932cffg3zbb9maqcqbo5odb1w&from=che0812&uid=ST1000DM003-1CH162_S1DHARVEXXXXS1DHARVE
HKU\S-1-5-21-3124263019-2915522535-2295681931-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.startpageing123.com/?type=hp&ts=1487662284&z=e015d02b3d7d7e792932cffg3zbb9maqcqbo5odb1w&from=che0812&uid=ST1000DM003-1CH162_S1DHARVEXXXXS1DHARVE
HKU\S-1-5-21-3124263019-2915522535-2295681931-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1482742001&z=23e2aa791c2cf81c0095348g6z4bco4mazeo6e2e6g&from=archer1028&uid=ST1000DM003-1CH162_S1DHARVEXXXXS1DHARVE&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - c:\program files\internet explorer\iexplore.exe hxxp://www.startpageing123.com/?type=sc&ts=1487662284&z=e015d02b3d7d7e792932cffg3zbb9maqcqbo5odb1w&from=che0812&uid=ST1000DM003-1CH162_S1DHARVEXXXXS1DHARVE
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=812257",
			"hxxp://www.nicesearches.com?type=hp&ts=1465191907&from=d1e20606&uid=st1000dm003-1ch162_s1dharvexxxxs1dharve&z=7f6c3901d518dd894bb38f0g8z8q0wcgat5g2t7e4b"
		
CHR HKU\S-1-5-21-3124263019-2915522535-2295681931-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bgknpfancpeamejmcooedljjnaddldhg] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cegdomhocaeoedbdpfolmgjkjaijfomo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fbkdlibjhnblcbjjecnlpkldhbkedfhj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gndaciceccgapjhpniecknjlmmlanaem] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [kppacdmmddediahklmcgkgdhhoojemmd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lanabbpahpjnaljebnpgkjemcbkepiak] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
2017-02-28 10:25 - 2017-02-28 10:00 - 00069632 ____H C:\Users\USER\Desktop\1b148e305ea2a45f.exe
2017-02-28 10:02 - 2017-02-28 10:02 - 00016715 _____ C:\Users\USER\AppData\Roaming\RU794-6CGAK-TROAT-ZTEFO-TRZZZ-ZTREE-AYYYY.html
2017-02-17 09:56 - 2017-02-25 10:19 - 00000000 ____D C:\Users\USER\AppData\Roaming\WinSAPSvc
2017-02-15 16:16 - 2017-02-28 11:22 - 00000000 ____D C:\Program Files (x86)\amuleCexx
2017-02-10 17:24 - 2017-02-28 21:53 - 00000000 ____D C:\Users\USER\AppData\Roaming\WinSnare
2017-02-28 10:00 - 2017-02-28 10:25 - 3680408 _____ () C:\Users\USER\AppData\Roaming\785249060
2017-02-25 18:03 - 2017-02-25 18:03 - 0099384 _____ () C:\Users\USER\AppData\Roaming\inst.exe
HKU\S-1-5-21-3124263019-2915522535-2295681931-1000\...\ChromeHTML: -> C:\Program Files (x86)\Baghair\Application\chrome.exe (Google Inc.) <==== ATTENTION
Task: {37A47719-5776-42C0-91A2-79C3693D278E} - \{2510FA92-C4C3-4D16-9C21-19DEF60AE600} -> No File <==== ATTENTION
Task: {3C10829A-5973-48FD-A8C6-CC103FBE5CB6} - \Milimili -> No File <==== ATTENTION
Task: {547AC9E4-408C-4174-910C-0CF1E412A69C} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> No File <==== ATTENTION
Task: {731EA058-BCB5-48A3-8382-65707FD72FC8} - \Microsoft\Windows\Media Center\PvrScheduleTask -> No File <==== ATTENTION
Task: {81F8D8EC-4150-462C-B403-4A9F5B8348E8} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> No File <==== ATTENTION
Task: {8EBC917B-E498-4DFE-86DD-8BB8CABDE845} - \{0084BEB1-7F93-4F69-BC79-D535CD6F6849} -> No File <==== ATTENTION
Task: {927D0F3B-16BC-4365-B98A-D573F47CFC15} - \WinTOOL -> No File <==== ATTENTION
Task: {93115D8A-8567-4BEA-8198-3B0D9A5E6E3D} - \{3165951A-E5CC-4BC8-AE04-8190E37710AF} -> No File <==== ATTENTION
Task: {ADE13CB1-D1DA-4028-9EB9-88C32D5777B0} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> No File <==== ATTENTION
Task: {DA41DE71-8431-42FB-9DB0-EB64A961DEAD} - \Microsoft\Windows\Maintenance\WinSAT -> No File <==== ATTENTION
Task: {F37DBD2F-D343-4347-964D-C48E3F66ED06} - \{49E5AADF-41C5-4595-AC5E-FC351B22F058} -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[Den_93rus]

Да, эти ярлыки создались после или при зарожении. Все папки на всех дисках стали скрытыми, и вместо них такие ярлыки

Fixlog.txt

[thyrex]

Заархивируйте эти ярлыки с паролем virus и пришлите архив

[Den_93rus]

Может на перед поспешил, но во вложении еще файл, был скрыт на рабочем столе, по названию как тот на который ссылаются все ярлыки. пароль тот же

 

Скачал

Удалил

[thyrex]

Файл должен был удалиться скриптом для FarBar. Ярлыки удалите вручную.

 

С расшифровкой помочь не сможем.