Шифровальщик ISHTAR

[Caiiiok]

Поймали шифровальшик помогите вылечить.

Возможна ли расшифпровка файлов через лабораторию Касперского?

CollectionLog-2017.03.09-12.14.zip

Изменено 9 марта, 2017 пользователем Caiiiok

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Unity Web Player

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\1\AppData\Roaming\8WOmiq2xv5D.exe', '');
 DeleteFile('C:\Users\1\AppData\Roaming\8WOmiq2xv5D.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 ExecuteRepair(1);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Caiiiok]

Спасибо большое.

Вроде все сделал.

А с расшифровкой как думаете лаборатория касперского может помочь.

[KLAN-5939247738]

AdwCleanerS0.txt

Изменено 9 марта, 2017 пользователем Caiiiok

[Sandor]

К сожалению, пока инструментов для расшифровки нет.

 

Для продолжения очистки:

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Caiiiok]

С расшифровкой-беда.

Файлы отчета прикладываю

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-02-20]
FF Extension: (Поиск@Mail.Ru) - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-02-20]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-02-20]
2017-03-03 12:12 - 2017-03-03 12:42 - 00001077 _____ C:\Users\1\AppData\Roaming\ISHTAR.DATA
2017-03-03 12:12 - 2017-03-03 12:42 - 00001077 _____ C:\ISHTAR.DATA
2017-03-03 12:12 - 2017-03-03 12:12 - 00001824 _____ C:\Users\1\AppData\Roaming\README-ISHTAR.txt
2017-03-03 12:12 - 2017-03-03 12:12 - 00001824 _____ C:\README-ISHTAR.txt
2017-03-03 12:11 - 2017-03-09 09:27 - 01220225 _____ C:\Users\1\AppData\Roaming\8WOmiq2xv5D.tmp
2017-02-20 17:41 - 2017-02-20 17:41 - 00158352 _____ (Mail.Ru) C:\Users\1\Downloads\amigo_dkit (2).exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Caiiiok]

Не было доступа к компьютеру последнее сообщение выполнил

Кстати напишу что злоумышленника за расшифровку попросили 100 долларов

Fixlog.txt

Изменено 21 марта, 2017 пользователем Caiiiok

[Sandor]

Программа создаст лог-файл (Fixlog.txt)

Этот файл покажите.

 

за расшифровку попросили 100 долларов

Ваше дело. Мы не советуем платить. Гарантий полной расшифровки нет, а заплатив, Вы поощряете их на дальнейшее распространение.

 

Если есть возможность, отложите важные зашифрованные документы.

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

[Caiiiok]

Платить не будем, написал просто для справки. Файл приложил.

Если у меня на работе есть лицензия на Касперского могу я через нее попробовать подать заявку на расшифровку?

Fixlog.txt

[Sandor]

Да, можно.

 

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Caiiiok]

Хорошо попробую отправить.

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 10.0.9200.16750 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

--------------------------- [ OtherUtilities ] ----------------------------

Foxit Reader 6.1.4.0217 v.v 6.1.4.0217 Внимание! Скачать обновления

^Локализованные версии могут обновляться позже англоязычных!^

WinRAR 5.01 (64-разрядная) v.5.01.0 Внимание! Скачать обновления

7-Zip 9.30 (x64 edition) v.9.30.00.0 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

---------------------------- [ UnwantedApps ] -----------------------------

Кнопка "Яндекс" на панели задач v.2.0.0.2115 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

На заметку: Рекомендации после удаления вредоносного ПО

[Caiiiok]

Спасибо большое.