Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

При серфинге в сети Интернет на ПК проникли трояны, часть файлов подверглась шифрованию, в т.ч. и программа 1С включая файлы базы. Огромная просьба к тем, кто сталкивался с данной проблемой и знает как расшифровать файлы помочь в этом.

Согласно порядку оформления запроса о помощи:

1. Проверил ПК Kaspersky Virus Removal Tool (список обнаруженных угроз уместился в одном скриншоте "screenKVRT"). Также обнаруженные угрозы за архивировал в ZIP  - zKqoIyvTTVVo_L, msimg32, Microsoft.NET.Framework. После чего нейтрализовал обнаруженные угрозы.

2. Скачал актуальную версия автоматического сборщика логов, которая подготовила логи в архиве CollectionLog-2066.07.20-15.53

Также прилагаю файл HTML в котором злоумышленники предлагают купить у них ключ для расшифровки на основании ID.

Зашифрованные файлы прилагаются в ZIP-архиве - Письменное обращение.doc.crypt  Создание нового документа.doc.crypt

Сохранился видеофайл MPG оригинал и шифрованный файл оригинала, которые залил в облако Mail.RU https://cloud.mail.ru/public/M8uN/mBHeAnLF4

 

Надеюсь возможно расшифровать файлы и не дать нажиться вымогателям.

 

Строгое предупреждение от модератора thyrex
Вредоносные вложения удалены

 

post-46611-0-46728400-1500277172_thumb.jpg

CollectionLog-2066.07.20-15.53.zip

how_to_back_files.html

Зашифрованные документы.zip

Опубликовано

Установите правильную системную дату, у Вас 20 июля 2066 года.

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteService('{2f0e2174-a0b6-4855-a164-5703a46a304b}Gt');
 DeleteService('qrnfd_1_10_0_12');
 DeleteService('innfd_1_10_0_13');
 QuarantineFile('c:\documents and settings\admin\local settings\application data\92368990-1428853192-11d5-bb2a-ddd7019bfb53\insl92.tmp','');
 DeleteFile('C:\windows\system32\drivers\innfd_1_10_0_13.sys','32');
 DeleteFile('C:\windows\system32\drivers\qrnfd_1_10_0_12.sys','32');
 DeleteFile('C:\windows\system32\drivers\{2f0e2174-a0b6-4855-a164-5703a46a304b}Gt.sys','32');
 DeleteFile('C:\Program Files\CinemaPlus-3.2cV14.04\35e41b31-ebc0-4e1d-b715-bdcc1f8fba4e-4.exe','32');
 DeleteFile('C:\Program Files\CinemaPlus-3.2cV14.04\35e41b31-ebc0-4e1d-b715-bdcc1f8fba4e-10.exe','32');
 DeleteFile('C:\windows\Tasks\35e41b31-ebc0-4e1d-b715-bdcc1f8fba4e-10_user.job','32');
 DeleteFile('C:\windows\Tasks\35e41b31-ebc0-4e1d-b715-bdcc1f8fba4e-4.job','32');
 DeleteFile('C:\windows\Tasks\4b000afa-875c-484f-8c15-349907757973-1-6.job','32');
 DeleteFile('C:\windows\Tasks\At1.job','32');
 DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Program Files\CinemaPlus-3.2cV15.04\4b000afa-875c-484f-8c15-349907757973-1-6.exe','32');
 DeleteFile('C:\windows\Tasks\eafc13d7-57c1-4338-8cfd-b87abce57064-1-7.job','32');
 DeleteFile('C:\windows\Tasks\eafc13d7-57c1-4338-8cfd-b87abce57064-10_user.job','32');
 DeleteFile('C:\Program Files\GoHDV15.04\eafc13d7-57c1-4338-8cfd-b87abce57064-1-7.exe','32');
 DeleteFile('C:\Program Files\GoHDV15.04\eafc13d7-57c1-4338-8cfd-b87abce57064-10.exe','32');
 DeleteFile('C:\Program Files\GoHDV15.04\eafc13d7-57c1-4338-8cfd-b87abce57064-11.exe','32');
 DeleteFile('C:\windows\Tasks\eafc13d7-57c1-4338-8cfd-b87abce57064-11.job','32');
 DeleteFile('C:\Program Files\GoHDV15.04\eafc13d7-57c1-4338-8cfd-b87abce57064-4.exe','32');
 DeleteFile('C:\Program Files\GoHDV15.04\eafc13d7-57c1-4338-8cfd-b87abce57064-5.exe','32');
 DeleteFile('C:\windows\Tasks\eafc13d7-57c1-4338-8cfd-b87abce57064-5.job','32');
 DeleteFile('C:\windows\Tasks\eafc13d7-57c1-4338-8cfd-b87abce57064-4.job','32');
 DeleteFile('C:\windows\Tasks\NNMTBVA.job','32');
 DeleteFile('C:\windows\Tasks\WHPYPPC.job','32');
 DeleteFile('C:\windows\Tasks\GDS.job','32');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\GDS.exe','32');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\NNMTBVA.exe','32');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\WHPYPPC.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Опубликовано

KLAN-6535552656

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
insl92.tmp - UDS:DangerousObject.Multi.Generic
bcqr00002.dat - UDS:DangerousObject.Multi.Generic

Опубликовано

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Не заметили?
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Опубликовано

C:\5.exe - что за файл?

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\...\Run: [] => [X]
Winlogon\Notify\ROMwlnotify: ROMwln.dll [X]
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1428831623&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1428831623&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&q={searchTerms}
SearchScopes: HKU\.DEFAULT -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\.DEFAULT -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\.DEFAULT -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\.DEFAULT -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1482476501-1500820517-1417001333-500 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1482476501-1500820517-1417001333-500 -> {058C66B2-4CB7-4EFD-BC18-D2ACA9E04F73} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1482476501-1500820517-1417001333-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1482476501-1500820517-1417001333-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1482476501-1500820517-1417001333-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1482476501-1500820517-1417001333-500 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1482476501-1500820517-1417001333-500 -> {3895CA51-B653-480D-AD7C-B004222DA7E1} URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1428831732&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1482476501-1500820517-1417001333-500 -> {77F2B683-BFE4-4140-A5D5-3004C16E3A8F} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1482476501-1500820517-1417001333-500 -> {77F2B683-BFE4-4140-A5D5-3004C16E3A8F},Codepage,0x10001,e3,04,00,00 URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1482476501-1500820517-1417001333-500 -> {95F663C0-C370-4955-8B39-63069DB1F6C0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1482476501-1500820517-1417001333-500 -> {B2A025AA-2242-4E2F-8FC6-6DC64A736A80} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1482476501-1500820517-1417001333-500 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1482476501-1500820517-1417001333-500 -> {FA6CC280-3AEA-4DC3-9C5B-9B729779EC31} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1482476501-1500820517-1417001333-500 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510&ts=1428831769&type=default&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1428831623&from=face&uid=WDCXWD3000JS-60PDB0_WD-WCAPD214851048510
FF Extension: (Adblock Plus) - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\fg8jh2o5.MICROSOF-650292\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2017-07-04]
OPR Extension: (GoHDV15.04) - C:\Documents and Settings\Admin\Application Data\Opera Software\Opera Stable\Extensions\bokijhalndhhhikpnaniimagniglonke [2015-04-16]
OPR Extension: (CinemaPlus-3.2cV11.04) - C:\Documents and Settings\Admin\Application Data\Opera Software\Opera Stable\Extensions\papbadoldddalgcjcicnikcfenodpghp [2015-04-12]
CHR HKLM\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] - hxxps://clients2.google.com/service/update2/crx
2015-03-27 01:14 - 2015-03-27 01:14 - 0004185 ____C () C:\Documents and Settings\Admin\Application Data\BRFGSV
2015-03-27 01:14 - 2015-03-27 01:14 - 0004185 ____C () C:\Documents and Settings\Admin\Application Data\GDS
2015-03-27 01:14 - 2015-03-27 01:14 - 0004185 _____ () C:\Documents and Settings\Admin\Application Data\NNMTBVA
2015-03-27 01:14 - 2015-03-27 01:14 - 0005542 _____ () C:\Documents and Settings\Admin\Application Data\PLKG
2015-03-27 01:14 - 2015-03-27 01:14 - 0005542 _____ () C:\Documents and Settings\Admin\Application Data\WHPYPPC
2015-03-27 01:14 - 2015-03-27 01:14 - 0005542 _____ () C:\Documents and Settings\Admin\Application Data\XAVNJJZY
2015-04-10 00:10 - 2015-04-10 00:10 - 0000165 ___HC () C:\Documents and Settings\Admin\Local Settings\Application Data\chrome.bat
2015-04-10 00:10 - 2013-05-07 03:45 - 1319728 ____H (The Chromium Authors) C:\Documents and Settings\Admin\Local Settings\Application Data\сhrоmе.bаt.exe
C:\Documents and Settings\Admin\TempWmicBatchFile.bat
C:\Documents and Settings\Admin\Local Settings\Application Data\92368990-1428853192-11D5-BB2A-DDD7019BFB53\insl92.tmp
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Опубликовано

5.exe непонятный исполняемый файл

лучше бы проверили на virustotal.com и прислали ссылку на результат проверки
Опубликовано

Вот теперь все стало на свои места. Файл удаляйте.

 

Это GlobeImposter2. C расшифровкой помочь не смогут даже в вирлабах.

Опубликовано

т.е. даже если официально обратившись через личный кабинет имея лицензию на антивирусный продукт?

Опубликовано

Попробуйте. Может я чего-то не знаю :)

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • zneft2006
      Автор zneft2006
      Шифровальщик coded все зашифровал
      CollectionLog-2017.12.07-12.00.zip
    • automir14
      Автор automir14
      плиз нужна помощь на компе зашифрованы файлы почты, офисные документы с расширением ПИСЬМО.jpg.crypt
    • Artem Petrov
      Автор Artem Petrov
      День добрый. У нас в компании произошел инцидент. Провели проверку при помощи Dr.Web CureIt! по результатам проведения которой был обнаружен Trojan.Encoder.16665. 
      Возможно ли расшифровать наши данные?
       
      Прикладываю: 
      Логи автоматического сборщика логов;
      Пример зашифрованного файла; Отчет Dr.Web CureIt!; Требования злоумышленников.
       
      CollectionLog-2017.12.04-14.20.zip
      Desktop.7z
      123.7z
    • SHooRoP
      Автор SHooRoP
      Здравствуйте.
      Файлы на компьютере бухгалтера зашифрованы .deryptme.
       
      Первые зашифрованные файлы датированы 27.11.2017 16:40 - 16:41 и судя по логам компа далее его выключили. Бухгалтер ничего не заподозрил, касперский промолчал (по словам бухгалтера) (на машинке стоит ksos17.0.0.611ru-ru_full). Далее ничего не подозревая включили комп 29.11.2017 в 11:19, касперский (по словам бухгалтера) снова молчит, когда поняли что не открывается ничего прошло порядка 30-40 минут и позвали сисадмина. Благо сеть была выдернута усердной шваброй уборщицы и эти полчаса сетевые диски были недоступны. Пришел, увидел, касперский был отключен!!! Пролечил установленным антивирусом, проверил дополнительно Kaspersky Virus Removal Tool 2015. Сделал логи по инструкции, прикрепляю. Откуда был схвачен шифровальщик не знаю, на все вопросы получаю один ответ - ничего не трогали ничего не нажимали.
       
      И еще вопрос, есть шанс расшифровать базы 1с с помощью техподдержки Касперского или можно рвать волосы по периметру?
       
      Заранее благодарю за ответ и возможную помощь.
      CollectionLog-2017.11.29-16.49.zip
    • GodILike
      Автор GodILike
      Здравствуйте, все файлы зашифровались и приобрели расширение crypt хотелось бы расшифровать их. Прикрепил один из зашифрованных файлов и его оригинал. Что делать в данном случае?

      Ещё в каждой папке появился файл с названием how_to_back_files , но он к сожалению не хочет прикрепляться там ссылка с требованиями вымогателей.
      CollectionLog-2017.11.30-17.48.zip
      Зашифрованный файл.rar
      Файл оригинал.rar
×
×
  • Создать...