Шифровальщик Trojan-Ransom.Win32.Agent.iyp

[badumm]

Добрый день! Получил на две машины шифровальщика, судя по времени изменения файлов, всё запустилось автоматически. Kaspersky Removal Tool на одном компьютере обнаружил Trojan-Ransom.Win32.Agent.iyp, на втором — ничего. На конце всех файлов было добавлено .some@mail.ru.ID********,  ID на обеих машинах одинаковый, равно как примерное время заражения и внешний ip (обе машины за NAT'ом). Связался по указанному в текстовом документе адресу (на bitmessage.ch), скинул по файлу с разных компьютеров — они в ответ прислали расшифрованные. Есть ли надежда на скорое написание дешифратора, или единственный выход — оплата?

зашифрованный файл.rar

[thyrex]

Порядок оформления запроса о помощи

[badumm]

Прикрепил файл с логами. 

CollectionLog-2017.05.15-18.34.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[badumm]

Прикрепил отчет FRST.

 

FRST отчет.rar

[thyrex]

Что в папке C:\Users\Admin\Downloads\cripterа ?

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
S2 Ghostery Storage Server; C:\Program Files (x86)\Ghostery Storage Server\ghstore.exe /svc [X]
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Все пользователи\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\бать\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\бать\Downloads\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\бать\Documents\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\бать\Desktop\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\бать\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\бать\AppData\Local\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Public\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Public\Downloads\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Public\Documents\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Public\Desktop\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\dimk\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\dimk\Downloads\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\dimk\Documents\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\dimk\Desktop\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\dimk\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\dimk\AppData\Local\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Default\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Default\Downloads\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Default\Documents\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Default\Desktop\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Default\AppData\Local\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Default User\Downloads\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Default User\Documents\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Default User\Desktop\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Default User\AppData\Local\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\brec\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\brec\Downloads\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\brec\Documents\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\brec\Desktop\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\brec\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\brec\AppData\Local\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Admin\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Admin\Downloads\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Admin\Documents\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Admin\Desktop\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\Admin\AppData\Local\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\Users\áàòü\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\ProgramData\Microsoft\Windows\Start Menu\How_return_files.txt
2017-05-15 03:06 - 2017-05-15 03:06 - 00000539 _____ C:\ProgramData\How_return_files.txt
2017-02-27 15:55 - 2016-08-21 17:29 - 7332864 _____ (© Кириллов А.П.) C:\Users\бать\AppData\Local\Temp\reklama_go.exe
2017-02-27 12:15 - 2016-08-21 17:29 - 7332864 _____ (© Кириллов А.П.) C:\Users\бать\AppData\Local\Temp\reklama_zo.exe
2013-06-03 10:58 - 2012-11-12 18:23 - 7460864 _____ (© Кириллов А.П.) C:\Users\brec\AppData\Local\Temp\reklama_zo.exe
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[badumm]

Выполнил скрипт. Заархивировал файлы из папки C:\Users\Admin\Downloads\cripterа, там так же лежат зашифрованные файлы, не уверен, но возможно в этой папке Kaspersky Removal Tool нашел вирус.

Fixlog.txt

cripterа.rar

[thyrex]

Найдите зашифрованный файл размером более 1048576 байт и пришлите в архиве

[badumm]

Прикрепил. Зашифрованы были даже ярлыки, соответственно имеются их исходные версии. Могут они как-то помочь в анализе?

файл1.rar

[thyrex]

Похоже, ключ отличается от того, что мне вчера достался

[badumm]

А можно подробней? Заплатили вымогателю, или как-то еще нашли ключ?

[badumm]

Получили ключ. К сожалению, исходников вируса не осталось, нет окна, в которое нужно ввести все данные. Есть ли какой-то простой скрипт, с помощью которого можно запустить расшифровку?

[thyrex]

Пришлите ключ, пожалуйста, я проверю у себя кое-что. В архиве с ключом пришлите несколько зашифрованных файлов размером менее 1 мегабайта и несколько размером более 1 мегабайта