Вирус шифровальщик [mk.goro@aol.com].wallet

[creator10]

Здравствуйте,

вирус зашифровал все файлы на компьютере,

в файлы добавил расширение  [mk.goro@aol.com].wallet

 

Нужно расшифровать только несколько несколько очень важных файлов,

помогите пожалуйста!

 

[kmscom]

внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

 

[Sandor]

+

Прикрепите парочку небольших зашифрованных файлов и текст вымогателя в архиве.

[creator10]

Извините, вот нужные данные:

 

По результатам проверки программой KVRT обнаружено:

HEUR:Trojan.Win32.Generic

RiskTool.Win32.Generic

HackTool.Win32.BruteForce.pma

 

По результатам проверки DrWeb CureIt обнаружено:

Trojan.Encoder.10317

Trojan.BtcMine.1065

Tool.Bruteforce.185

 

Сборщик логов на одном из этапов выдал ошибку (см. скрин), но архив с логами сформировал (приложил).

 

Зашифрованные файлы приложил.

 

CollectionLog-2017.03.06-12.39.zip

ЗашифрованныеФайлы.zip

Hello my vichtim.txt

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 TerminateProcessByName('c:\users\timofeeva_s\desktop\subaru.exe');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\subaru.exe', '');
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\subaru.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\subaru.exe', '32');
 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\subaru.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','subaru.exe');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Пожалуйста, перезагрузите компьютер вручную.

 

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[creator10]

я выполнил скрипт и перезагрузился.

И все данные, которые были в том числе сборщик логов и quarantine.zip 

зашифровались шифровщиком,

что делать, начать все с начала?

[Sandor]

Виноват, я пропустил. Да, скачайте Автологер и соберите новый CollectionLog.

[creator10]

Сейчас при попытке запустить Автологгер выдает 

Вы запустили сборщик логов из терминальной сессии RDP-Tcp#0

Пожалуйста запустите сборщик логов из консоли.

 

Что нужно сделать?

[Sandor]

А предыдущий Вы тоже запускали из терминальной сессии? Желательно собрать логи, запустив именно из консоли, т.е. непосредственно на сервере.

[creator10]

Запустили из консоли, приложил.

CollectionLog-2017.03.06-15.15.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 TerminateProcessByName('c:\windows\system32\subaru.exe');
 TerminateProcessByName('C:\Windows\System32\NsCCN.exe');
 QuarantineFile('C:\Windows\System32\Info.hta','');
 QuarantineFile('C:\Windows\System32\NsCCN.exe','');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\subaru.exe', '');
 QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\subaru.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\subaru.exe', '');
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\subaru.exe', '');
 DeleteFile('C:\Windows\System32\NsCCN.exe','32');
 DeleteFile('C:\Windows\System32\Info.hta','32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\subaru.exe', '32');
 DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\Info.hta', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\subaru.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\subaru.exe', '32');
 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\subaru.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','subaru.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\system32\config\systemprofile\AppData\Roaming\Info.hta');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Администратор\AppData\Roaming\Info.hta');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Пожалуйста, перезагрузите компьютер вручную.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Изменено 6 марта, 2017 пользователем Sandor

[creator10]

файлы FRST.txt, Addition.txt, Shortcut.txt приложил.

 

 

ответ с newvirus@kaspersky.com

 

файл quarantine [KLAN-5924984941]

 

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
Info.hta
Info_0.hta
Info_1.hta
Info_2.hta
Info_3.hta

Программа Riskware, которая может причинить вред вашему устройству, найдена в файлах
NsCCN.exe - not-a-virus:RiskTool.Win32.Generic

В файлах найдены вредоносные программы
subaru.exe - HEUR:Trojan.Win32.Generic
subaru_0.exe - HEUR:Trojan.Win32.Generic
subaru_1.exe - HEUR:Trojan.Win32.Generic
subaru_2.exe - HEUR:Trojan.Win32.Generic

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.
Антивирусная Лаборатория, Kaspersky Lab HQ

Addition.txt

FRST.txt

Shortcut.txt

Изменено 6 марта, 2017 пользователем creator10

[Sandor]

Профиль

C:\Users\nfhfrfy

создавался Вами сознательно?

 

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
() C:\Windows\System32\nssm.exe
() C:\Windows\System32\NsCCN.exe
GroupPolicyScripts: Restriction <======= ATTENTION
2017-03-06 04:22 - 2016-09-02 19:17 - 02594816 _____ C:\Windows\system32\NsCCN.exe
2017-03-06 04:22 - 2014-08-31 16:34 - 00331264 _____ C:\Windows\system32\nssm.exe
2017-03-05 19:27 - 2017-03-06 15:05 - 00013913 _____ C:\Windows\system32\Info.hta
2017-03-05 19:27 - 2017-03-06 15:05 - 00000214 _____ C:\Hello my vichtim.txt
2017-03-05 19:24 - 2017-03-06 14:58 - 00094720 _____ C:\Windows\system32\subaru.exe
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

 

Соберите свежие логи FRST.

[creator10]

Пользователя nfhfrfy скорее всего никто не создавал

 

Fixlog.txt приложил

 

новый файлы FRST приложил

 

Fixlog.txt

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

До окончания не удаляйте папку C:\FRST