шифровальщик gruzinrussian@aol.com

[anoshkin]

Добрый день

Очень прошу помочь

Подцепили на сервере троян, который зашифровал файлы 1c c расширением email-gruzinrussian@aol.com.ver-CL 1.3.1.0.id-@@@@@0000-0028.randomname-EGHIIJJKLMMNNNOOPQQRRRSTTUUVWW.WXY.zza

 

Видел, что советуете запустить Farbar Recovery Scan Tool

Файлы с его выводом прилагаю

Или как можно самому понять, что нужно писать в fixlist?

И есть шансы расшифровать файлы?

Addition.txt

FRST.txt

Shortcut.txt

CollectionLog-2017.03.13-13.06.zip

Изменено 13 марта, 2017 пользователем anoshkin

[Sandor]

Здравствуйте!

 

Начните с логов по правилам: Порядок оформления запроса о помощи

[anoshkin]

Здравствуйте, файл из программы AutoLogger приложил

CollectionLog-2017.03.13-13.06.zip

Изменено 13 марта, 2017 пользователем anoshkin

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\totalcmd\tr\csrs.exe', '');
 QuarantineFile('C:\Users\Marina\AppData\Local\Temp\cisBD6.exe', '');
 DeleteFile('C:\totalcmd\tr\csrs.exe', '32');
 DeleteFile('C:\Users\Marina\AppData\Local\Temp\cisBD6.exe', '32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-1545257345-2984377823-3496276576-1014\Software\Microsoft\Windows\CurrentVersion\Run','TrayFactory');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-1545257345-2984377823-3496276576-1014\Software\Microsoft\Windows\CurrentVersion\RunOnce','PSTF');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CIS_{81EFDD93-DBBE-415B-BE6E-49B9664E3E82}','command');
 ExecuteRepair(21);
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Соберите и прикрепите свежие логи FRST.

[anoshkin]

Скрипт выполнил (комп после этого перезагрузился), но файлы cisBD6.exe и csrs.exe удалились, но в карантин не попали (архив имеет 0 байт)

Прилагаю всю папку, что осталось по пути c:\totalcmd

 

На всякий случай, прикладываю новую версию архив от AutoLogger

 

Логи из Farbar собираю сейчас

Новые логи из farbar прикладываю

totalcmd.rar

CollectionLog-2017.03.13-14.06.zip

Addition.txt

FRST.txt

Shortcut.txt

Изменено 13 марта, 2017 пользователем anoshkin

[Sandor]

Файл C:\Users\Elena.Marina-PK\Desktop\README.txt и парочку небольших зашифрованных упакуйте и прикрепите к следующему сообщению.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
2017-03-12 12:42 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Public\README.txt
2017-03-12 12:42 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Public\Downloads\README.txt
2017-03-12 12:42 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Elena.Marina-PK\README.txt
2017-03-12 12:42 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Elena.Marina-PK\Downloads\README.txt
2017-03-12 12:42 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Elena.Marina-PK\Documents\README.txt
2017-03-12 12:42 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Elena.Marina-PK\AppData\Roaming\README.txt
2017-03-12 12:42 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Elena.Marina-PK\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-03-12 12:42 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Elena.Marina-PK\AppData\README.txt
2017-03-12 12:42 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Elena.Marina-PK\AppData\LocalLow\README.txt
2017-03-12 12:38 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Elena.Marina-PK\AppData\Local\README.txt
2017-03-12 12:34 - 2017-03-12 12:44 - 00000139 _____ C:\Users\Все пользователи\README.txt
2017-03-12 12:34 - 2017-03-12 12:44 - 00000139 _____ C:\Users\Public\Documents\README.txt
2017-03-12 12:34 - 2017-03-12 12:44 - 00000139 _____ C:\ProgramData\README.txt
2017-03-12 11:54 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Elena.Marina-PK\Desktop\README.txt
Task: {E71F5D48-4827-4EE0-8391-7071082933D6} - \Pokki -> No File <==== ATTENTION
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[anoshkin]

С рабочего стола отправляю

Этот скрипт сейчас запущу

Fixlog прилагаю, но как вижу, ничего не поменялось

Файлы еще зашифрованы

README.txt

Desktop.zip

Fixlog.txt

[Sandor]

Мы пока только очистили следы.

Увы, помочь с расшифровкой не можем.

 

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

[anoshkin]

Была необходимость быстрого получения файлов, поэтому пришлось заплатить хакеру

В результате чего, были получены следующие файлы для расшифровки

Может кому-то пригодяться

дешифратор.zip

[Sandor]

Увы, для другого пострадавшего нужен другой, так что не поможет.