Часть файлов подверглась шифрованию, расширение типа [ *.crypt ]. Просьба помочь в расшифровке.

[VladRVS]

При серфинге в сети Интернет на ПК проникли трояны, часть файлов подверглась шифрованию, в т.ч. и программа 1С включая файлы базы. Огромная просьба к тем, кто сталкивался с данной проблемой и знает как расшифровать файлы помочь в этом.

Согласно порядку оформления запроса о помощи:

1. Проверил ПК Kaspersky Virus Removal Tool (список обнаруженных угроз уместился в одном скриншоте "screenKVRT"). Также обнаруженные угрозы за архивировал в ZIP  - zKqoIyvTTVVo_L, msimg32, Microsoft.NET.Framework. После чего нейтрализовал обнаруженные угрозы.

2. Скачал актуальную версия автоматического сборщика логов, которая подготовила логи в архиве CollectionLog-2066.07.20-15.53

Также прилагаю файл HTML в котором злоумышленники предлагают купить у них ключ для расшифровки на основании ID.

Зашифрованные файлы прилагаются в ZIP-архиве - Письменное обращение.doc.crypt  Создание нового документа.doc.crypt

Сохранился видеофайл MPG оригинал и шифрованный файл оригинала, которые залил в облако Mail.RU https://cloud.mail.ru/public/M8uN/mBHeAnLF4

 

Надеюсь возможно расшифровать файлы и не дать нажиться вымогателям.

 

Строгое предупреждение от модератора thyrex

Вредоносные вложения удалены

 

CollectionLog-2066.07.20-15.53.zip

how_to_back_files.html

Зашифрованные документы.zip

[thyrex]

Установите правильную системную дату, у Вас 20 июля 2066 года.

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteService('{2f0e2174-a0b6-4855-a164-5703a46a304b}Gt');
 DeleteService('qrnfd_1_10_0_12');
 DeleteService('innfd_1_10_0_13');
 QuarantineFile('c:\documents and settings\admin\local settings\application data\92368990-1428853192-11d5-bb2a-ddd7019bfb53\insl92.tmp','');
 DeleteFile('C:\windows\system32\drivers\innfd_1_10_0_13.sys','32');
 DeleteFile('C:\windows\system32\drivers\qrnfd_1_10_0_12.sys','32');
 DeleteFile('C:\windows\system32\drivers\{2f0e2174-a0b6-4855-a164-5703a46a304b}Gt.sys','32');
 DeleteFile('C:\Program Files\CinemaPlus-3.2cV14.04\35e41b31-ebc0-4e1d-b715-bdcc1f8fba4e-4.exe','32');
 DeleteFile('C:\Program Files\CinemaPlus-3.2cV14.04\35e41b31-ebc0-4e1d-b715-bdcc1f8fba4e-10.exe','32');
 DeleteFile('C:\windows\Tasks\35e41b31-ebc0-4e1d-b715-bdcc1f8fba4e-10_user.job','32');
 DeleteFile('C:\windows\Tasks\35e41b31-ebc0-4e1d-b715-bdcc1f8fba4e-4.job','32');
 DeleteFile('C:\windows\Tasks\4b000afa-875c-484f-8c15-349907757973-1-6.job','32');
 DeleteFile('C:\windows\Tasks\At1.job','32');
 DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Program Files\CinemaPlus-3.2cV15.04\4b000afa-875c-484f-8c15-349907757973-1-6.exe','32');
 DeleteFile('C:\windows\Tasks\eafc13d7-57c1-4338-8cfd-b87abce57064-1-7.job','32');
 DeleteFile('C:\windows\Tasks\eafc13d7-57c1-4338-8cfd-b87abce57064-10_user.job','32');
 DeleteFile('C:\Program Files\GoHDV15.04\eafc13d7-57c1-4338-8cfd-b87abce57064-1-7.exe','32');
 DeleteFile('C:\Program Files\GoHDV15.04\eafc13d7-57c1-4338-8cfd-b87abce57064-10.exe','32');
 DeleteFile('C:\Program Files\GoHDV15.04\eafc13d7-57c1-4338-8cfd-b87abce57064-11.exe','32');
 DeleteFile('C:\windows\Tasks\eafc13d7-57c1-4338-8cfd-b87abce57064-11.job','32');
 DeleteFile('C:\Program Files\GoHDV15.04\eafc13d7-57c1-4338-8cfd-b87abce57064-4.exe','32');
 DeleteFile('C:\Program Files\GoHDV15.04\eafc13d7-57c1-4338-8cfd-b87abce57064-5.exe','32');
 DeleteFile('C:\windows\Tasks\eafc13d7-57c1-4338-8cfd-b87abce57064-5.job','32');
 DeleteFile('C:\windows\Tasks\eafc13d7-57c1-4338-8cfd-b87abce57064-4.job','32');
 DeleteFile('C:\windows\Tasks\NNMTBVA.job','32');
 DeleteFile('C:\windows\Tasks\WHPYPPC.job','32');
 DeleteFile('C:\windows\Tasks\GDS.job','32');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\GDS.exe','32');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\NNMTBVA.exe','32');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\WHPYPPC.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[VladRVS]

KLAN-6535552656

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
insl92.tmp - UDS:DangerousObject.Multi.Generic
bcqr00002.dat - UDS:DangerousObject.Multi.Generic

[Sandor]

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Не заметили?

[VladRVS]

Извиняюсь. Поправился.

CollectionLog-2017.07.17-15.30.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[VladRVS]

все сделал как показано. отчеты в zip

FRSTtxt.zip

[thyrex]

C:\5.exe - что за файл?

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\...\Run: [] => [X]
Winlogon\Notify\ROMwlnotify: ROMwln.dll [X]
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1428831623&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1428831623&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&q={searchTerms}
SearchScopes: HKU\.DEFAULT -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\.DEFAULT -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\.DEFAULT -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\.DEFAULT -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1482476501-1500820517-1417001333-500 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1482476501-1500820517-1417001333-500 -> {058C66B2-4CB7-4EFD-BC18-D2ACA9E04F73} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1482476501-1500820517-1417001333-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1482476501-1500820517-1417001333-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1482476501-1500820517-1417001333-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1482476501-1500820517-1417001333-500 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1482476501-1500820517-1417001333-500 -> {3895CA51-B653-480D-AD7C-B004222DA7E1} URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1428831732&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1482476501-1500820517-1417001333-500 -> {77F2B683-BFE4-4140-A5D5-3004C16E3A8F} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1482476501-1500820517-1417001333-500 -> {77F2B683-BFE4-4140-A5D5-3004C16E3A8F},Codepage,0x10001,e3,04,00,00 URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1482476501-1500820517-1417001333-500 -> {95F663C0-C370-4955-8B39-63069DB1F6C0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1482476501-1500820517-1417001333-500 -> {B2A025AA-2242-4E2F-8FC6-6DC64A736A80} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1482476501-1500820517-1417001333-500 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1482476501-1500820517-1417001333-500 -> {FA6CC280-3AEA-4DC3-9C5B-9B729779EC31} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1482476501-1500820517-1417001333-500 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1428831623&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510
FF Extension: (Adblock Plus) - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\fg8jh2o5.MICROSOF-650292\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2017-07-04]
OPR Extension: (GoHDV15.04) - C:\Documents and Settings\Admin\Application Data\Opera Software\Opera Stable\Extensions\bokijhalndhhhikpnaniimagniglonke [2015-04-16]
OPR Extension: (CinemaPlus-3.2cV11.04) - C:\Documents and Settings\Admin\Application Data\Opera Software\Opera Stable\Extensions\papbadoldddalgcjcicnikcfenodpghp [2015-04-12]
CHR HKLM\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] - hxxps://clients2.google.com/service/update2/crx
2015-03-27 01:14 - 2015-03-27 01:14 - 0004185 ____C () C:\Documents and Settings\Admin\Application Data\BRFGSV
2015-03-27 01:14 - 2015-03-27 01:14 - 0004185 ____C () C:\Documents and Settings\Admin\Application Data\GDS
2015-03-27 01:14 - 2015-03-27 01:14 - 0004185 _____ () C:\Documents and Settings\Admin\Application Data\NNMTBVA
2015-03-27 01:14 - 2015-03-27 01:14 - 0005542 _____ () C:\Documents and Settings\Admin\Application Data\PLKG
2015-03-27 01:14 - 2015-03-27 01:14 - 0005542 _____ () C:\Documents and Settings\Admin\Application Data\WHPYPPC
2015-03-27 01:14 - 2015-03-27 01:14 - 0005542 _____ () C:\Documents and Settings\Admin\Application Data\XAVNJJZY
2015-04-10 00:10 - 2015-04-10 00:10 - 0000165 ___HC () C:\Documents and Settings\Admin\Local Settings\Application Data\chrome.bat
2015-04-10 00:10 - 2013-05-07 03:45 - 1319728 ____H (The Chromium Authors) C:\Documents and Settings\Admin\Local Settings\Application Data\сhrоmе.bаt.exe
C:\Documents and Settings\Admin\TempWmicBatchFile.bat
C:\Documents and Settings\Admin\Local Settings\Application Data\92368990-1428853192-11D5-BB2A-DDD7019BFB53\insl92.tmp
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[VladRVS]

5.exe непонятный исполняемый файл. Удалил в корзину.

 

Вернее вот файлик Fixlog

fixlist.txt

Fixlog.txt

[thyrex]

5.exe непонятный исполняемый файл

лучше бы проверили на virustotal.com и прислали ссылку на результат проверки

[VladRVS]

Восстановил из корзины. Проверил на вирустотал

https://www.virustotal.com/ru/file/077d2e5d588d46bbf5cedb7f53aca56dc362ac0c3ec174fa67d15f6a3f063aff/analysis/1500353926/

[thyrex]

Вот теперь все стало на свои места. Файл удаляйте.

 

Это GlobeImposter2. C расшифровкой помочь не смогут даже в вирлабах.

[VladRVS]

т.е. даже если официально обратившись через личный кабинет имея лицензию на антивирусный продукт?

[thyrex]

Попробуйте. Может я чего-то не знаю