Неизвестный вирус-шифровальщик

[Avagabond]

Здравствуйте. Наша организация пользуется Вашим антивирусом, но, к сожалению, не на всех ПК - на некоторых стоит пока бесплатная версия антивируса Avast.

Сегодня на ПК с Avast-ом, где сидит наша сотрудница бухгалтер-делопроизводитель, пришло письмо

 

(ВНИМАНИЕ - В ПИСЬМЕ ВРЕДОНОСНАЯ ССЫЛКА!):

 

**************************************************************************************************************************

**************************************************************************************************************************

отправитель:  Владимир Прохоров

адрес отправителя:    ucl@jti.ru

 

текст письма:

 

Здравствуйте!

Отправлю исправленный счет. Документ во вложении или на сайте компании. [удалено]

 

Валентин Прохоров

 

**************************************************************************************************************************

 

Видно, что реально ссылка (вредоносная!!!) вот такая:    [удалено]

 

 

**************************************************************************************************************************

**************************************************************************************************************************

 

на моем ПК, где установлен Kaspersky Internet Security, сайт блокируется, выходит сообщение:

 

Запрашиваемый веб-адрес не может быть предоставлен

 

Веб-адрес объекта:

 

[удалено]

 

Причина:

 

объект заражен HEUR:Trojan.Script.Generic

 

**************************************************************************************************************************

 

Но на ПК с Avast-ом сайт открылся, вирус проник, видимо, он установил на комп неведомый вирус-шифровальщик,

и все рабочие файлы и архивы нашей сотрудницы (документы, базы 1С) оказались зашифрованы к вечеру

(И всё это произошло стремительно - сегодня, с 13 до 16 часов !)

 

Я остался на работе, стал чистить её ПК, но свежескачанная с Вашего сайта программа:  Kaspersky Virus Removal Tool (KVRT, базы от 09.03.2017)

ничего не нашла - ни при загрузке в безопасном режиме Windows, ни в обычном (просканировал весь диск C, другие диски не успел).

Пишет - никаких угроз не обнаружено.

Та же ситуация на сей час и со свежескаченным DrWeb CurreIt - никаких угроз не обнаружено.

 

При этом все её рабочие файлы зашифрованы, на рабочем экране на черном фоне виднеется зловещая надпись, которая повторяется

в куче README.TXT файлах, созданных на всех дисках, с таким вот содержанием:

 

********************************************

 

Вaши фaйлы были зaшuфpoвaны.

Чmобы pacшuфрoваmь иx, Baм неoбxoдимo oтпpaвumь код:

9DF15DD74E2A42DFB35F|0

нa элeкmронный адpеc yvonne.vancese1982@gmail.com .

Далее вы получumе вce нeoбходимые uнстрykцuи.

Пonытки раcшифровать cамоcmояmельно нe npuвeдут нu k чему, кpоме безвoзвpaтной noтeри инфоpмациu.

Ecлu вы вcё же хотuте noпыmаmьcя, тo пpeдвaрumельно сделайmе pезервные kоnии файлoв, uнaчe в cлучae

uх uзмeненuя раcшифрoвkа cтанem нeвозмoжнoй нu npи kаkuх ycловuяx.

Еcлu вы не полyчuли отвеmа по вышеyкaзаннoму aдpеcу в mечeниe 48 чаcов (и mолькo в эmом cлучae!),

восnoльзуйтесь фopмой oбратной связu. Это мoжнo сдeлать двyмя сnоcобaмu:

1) Ckачайте и усmaновитe Tor Browser пo cсылке: https://www.torproject.org/download/download-easy.html.en

В aдpecной cmрoке Tor Browser-а ввeдuтe адpec:

http://cryptsen7fo43rr6.onion/

u нажмume Enter. Зaгрузumcя страница c формой oбрamной связu.

2) B любoм брaузeре nерeйдume пo однoму из адpеcoв:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/ 

 

**************************************************************************************************************************

 

Скажите, пожалуйста, есть ли надежда победить сей недуг?

Какие шаги предпринять?

С уважением, Антон.

[thyrex]

Порядок оформления запроса о помощи

[Avagabond]

Ага, спасибо, я прочел    Просканировал логи на зараженном компьютере.

Результат в прикрепленном файле.

 

P.S. Но обратите внимание - ни  Kaspersky Virus Removal Tool 2015,  ни Dr.Web CureIt!  ничего не нашли,

видимо, вирус свежий совсем.

CollectionLog-2017.03.14-20.24.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Avagabond]

Доброе утро!

Высылаю в архиве - отчеты Farbar Recovery Scan Tool.

 

Отчет Farbar Recovery Scan Tool.rar

[Avagabond]

Здравствуйте. Скажите, есть ли надежда расшифровать файлы, и какой бы мне предложили план действий -

сейчас компьютер я отключил от локальной сети (чтобы не заразились от него другие компы), работать на нем сотрудница не может.

 

P.S. Отчеты по Farbar Recovery Scan Tool я отправил в своем предыдущем сообщении.

 

Заранее спасибо.

[thyrex]

Расшифровки этой разновидности нет ни в одной антивирусной компании. Появиться она может только после поимки злоумышленников.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2017-03-14 15:19 - 2017-03-14 15:19 - 02986038 _____ C:\Documents and Settings\Ольга\Application Data\50BE478250BE4782.bmp
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\Ольга\Рабочий стол\README9.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\Ольга\Рабочий стол\README8.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\Ольга\Рабочий стол\README7.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\Ольга\Рабочий стол\README6.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\Ольга\Рабочий стол\README5.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\Ольга\Рабочий стол\README4.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\Ольга\Рабочий стол\README3.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\Ольга\Рабочий стол\README2.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\Ольга\Рабочий стол\README10.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\Ольга\Рабочий стол\README1.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2017-03-14 15:19 - 2017-03-14 15:19 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2017-03-14 13:07 - 2017-03-14 13:07 - 00004170 _____ C:\README9.txt
2017-03-14 13:07 - 2017-03-14 13:07 - 00004170 _____ C:\README8.txt
2017-03-14 13:07 - 2017-03-14 13:07 - 00004170 _____ C:\README7.txt
2017-03-14 13:07 - 2017-03-14 13:07 - 00004170 _____ C:\README6.txt
2017-03-14 13:07 - 2017-03-14 13:07 - 00004170 _____ C:\README5.txt
2017-03-14 13:07 - 2017-03-14 13:07 - 00004170 _____ C:\README4.txt
2017-03-14 13:07 - 2017-03-14 13:07 - 00004170 _____ C:\README3.txt
2017-03-14 13:07 - 2017-03-14 13:07 - 00004170 _____ C:\README2.txt
2017-03-14 13:07 - 2017-03-14 13:07 - 00004170 _____ C:\README10.txt
2017-03-14 13:06 - 2017-03-14 16:44 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[Avagabond]

Действия выполнил. Направляю лог-файл Fixlog.txt:

 

Fixlog.txt

[thyrex]

На этом чистка мусора завершена.