Поймал шифровальщика

[8866962]

Вашu фaйлы были зашифрованы.

Чmoбы pасшuфpовamь ux, Baм необxoдuмo отпрaвиmь koд:

7D7C470B8B700DDA3406|0

на элekтpoнный aдpеc Novikov.Vavila@gmail.com .

Далeе вы noлyчuтe вcе неoбxoдимыe инcтpукциu.

Пonыткu рacшифpовaть сaмoстoяmeльно не npuвeдym ни к чему, kpомe бeзвoзврaтной потepu uнфоpмациu.

Еcли вы вcё же xотитe nоnытаться, mо предвaриmeльнo сдeлайmе pезеpвныe кonuu файлoв, иначе в cлучae

uх uзмeнeния рacшифровкa cmанет нeвозмoжнoй ни nри каких условuях.

Еслu вы не полyчили отвеmа пo вышеykaзaнномy aдрeсy в течeние 48 чacов (u mольkо в эmом случае!),

вocnoльзyйmecь фоpмой обpаmной связи. Эmo можно cделamь двумя сnoсобамu:

1) Ckaчaйme и уcmановиmе Tor Browser nо cсылkе: https://www.torproject.org/download/download-easy.html.en

B адpeснoй cmpокe Tor Browser-a ввeдиmе aдpес:

http://cryptsen7fo43rr6.onion/

README1.txt

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[8866962]

Отправляю лог.

Прочитал аналогичные темы и сразу сделал сканы FRST

Их тоже прикрепил

CollectionLog-2017.07.30-11.35.zip

FRST.txt

Addition.txt

[regist]

Здравствуйте!

 

 

С расшифровкой помочь не сможем, только вирус почистим.

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\docume~1\admin\locals~1\temp\534cefe1.exe');
 TerminateProcessByName('c:\docume~1\admin\locals~1\temp\826b6ee8.exe');
 TerminateProcessByName('c:\docume~1\admin\locals~1\temp\8f5ccd97.exe');
 TerminateProcessByName('c:\docume~1\admin\locals~1\temp\rar$dia0.895\scanpage53.scr');
 QuarantineFile('c:\docume~1\admin\locals~1\temp\534cefe1.exe', '');
 QuarantineFile('c:\docume~1\admin\locals~1\temp\826b6ee8.exe', '');
 QuarantineFile('c:\docume~1\admin\locals~1\temp\8f5ccd97.exe', '');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\A86B5C6747183B1C9BBB4181C53F302D.dll', '');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\_MEI52682\python27.dll', '');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe', '');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Csrss\csrss.exe', '');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Drivers\csrss.exe', '');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\services\csrss.exe', '');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\SysWOW64\scKeatwM.cmd', ''); QuarantineFileF('C:\Documents and Settings\All Users\Application Data\Csrss\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Program Files\askpartnernetwork\toolbar\orj-spe\passport.dll', '');
 QuarantineFile('C:\Program Files\askpartnernetwork\toolbar\updatemanager.exe', '');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\yupdate.exe-{8DB75EBC-970F-45EB-B439-8F96905A3D2E}', '');
 QuarantineFile('c:\documents and settings\admin\local settings\temp\48880E93-767B6E07-1538FFC8-732EC19B\3d5a8b4394b.sys', '');
 QuarantineFile('c:\docume~1\admin\locals~1\temp\rar$dia0.895\scanpage53.scr', '');
 QuarantineFileF('C:\Documents and Settings\All Users\Application Data\Drivers\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\program files\askpartnernetwork\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Program Files\askpartnernetwork\toolbar\orj-spe\passport.dll');
 DeleteFile('C:\Program Files\askpartnernetwork\toolbar\updatemanager.exe');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\_MEI52682\python27.dll', '32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe', '32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Csrss\csrss.exe', '32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Drivers\csrss.exe', '32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\services\csrss.exe', '32'); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\A86B5C6747183B1C9BBB4181C53F302D.dll', '');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\A86B5C6747183B1C9BBB4181C53F302D.dll');
 DeleteFile('c:\docume~1\admin\locals~1\temp\rar$dia0.895\scanpage53.scr');
 DeleteFileMask('C:\Documents and Settings\All Users\Application Data\Csrss\', '*', true);
 DeleteFileMask('C:\Documents and Settings\All Users\Application Data\Drivers\', '*', true);
 DeleteDirectory('C:\Documents and Settings\All Users\Application Data\Csrss\');
 DeleteDirectory('C:\Documents and Settings\All Users\Application Data\Drivers\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'NetworkSubsystem');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Session Manager');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ClearTemp');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

 

remote manipulator system - server - сами ставили?

Изменено 30 июля, 2017 пользователем regist
лишние пробелы в скрипте

[8866962]

Подскажите пожалуйстачто сделать с расшифрофкой ???  утеряны ОЧЕНЬ важные документы ;-((

 

remote manipulator system - server - сами ставили?

 

 

Нет не устанавливал..

[regist]

 

 

Подскажите пожалуйстачто сделать с расшифрофкой ??? утеряны ОЧЕНЬ важные документы ;-((

как бы не банально это не звучало, но думать об этом надо было заранее. А сейчас советую заявление в полицию писать.

 

Скрипт выполняйте, шифратор и не только у вас до сих пор активен.

 

 

remote manipulator system - server - сами ставили? Нет не устанавливал..

значит плюс ко всему посторонний человек имеет полный доступ к вашей системе. Чем это грозит думаете и так понимаете.

[8866962]

А подскажите пожалуйста каким именно шифровальщиком у меня зашифрованы файлы ?

[regist]

 

 

каким именно шифровальщиком у меня зашифрованы файлы ?

Shade.

 

Вы скрипт выполнять будете или просто поболтать тему создали? Не забывайте, что он у вас всё ещё работает и продожает шифровать.

[8866962]

 

каким именно шифровальщиком у меня зашифрованы файлы ?

Shade.

 

Вы скрипт выполнять будете или просто поболтать тему создали? Не забывайте, что он у вас всё ещё работает и продожает шифроват

 

 

 

 

Да какое там "поболтать" :-((( Я в ужасе от ситуации !

Я переживаю за то что после выполнения скрипта исчезнет какой нибудь ключ или еще что то произойдет и дефиыровка будет невозмочна окончательно !

 

https://virusinfo.info/virusdetector/report.php?md5=2F44EA589889085F87A08F9074669E4E

Уважаемый пользователь! Благодарим Вас за использование сервиса VirusDetector! 

Антивирусная онлайн-проверка вашей системы завершена. Архив с карантином (MD5: 2F44EA589889085F87A08F9074669E4E) был успешно обработан системой CyberHelper.

Ознакомиться с подробными результатами анализа можно по следующим ссылкам:

 

Результаты проверки онлайн-сервисом VirusDetector » 

Обсуждение результатов проверки » 

 

Сообщение от модератора Mark D. Pearlstone

Чрезмерное цитирование удалено.

Не нужно каждый раз цитировать сообщения. Пользуйтесь кнопкой изменить для добавления информации.

 

Прошу прощения...

 

KLAN-6589562835

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

 

В следующих файлах обнаружен вредоносный код:

534cefe1.exe - Trojan.Win32.Agent.nezeod

826b6ee8.exe - Trojan-Ransom.Win32.Agent.ivl

8f5ccd97.exe - Trojan.Win32.Agent.nevnwq

A86B5C6747183B1C9BBB4181C53F302D.dll - Trojan-Ransom.Win32.Agent.ixi

csrss_0.exe - Trojan.Win32.Agent.nevnwq

csrss_1.exe - Trojan.Win32.Agent.nezeod

csrss_2.exe - Trojan-Ransom.Win32.Agent.ivl

bcqr00001.dat - Trojan.Win32.Agent.nezeod

bcqr00002.dat - Trojan.Win32.Agent.nezeod

bcqr00003.dat - Trojan-Ransom.Win32.Agent.ivl

bcqr00004.dat - Trojan-Ransom.Win32.Agent.ivl

bcqr00005.dat - Trojan.Win32.Agent.nevnwq

bcqr00006.dat - Trojan.Win32.Agent.nevnwq

 

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:

csrss.exe - not-a-virus:NetTool.Win32.TorJok.eq

passport.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

updatemanager.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

APNNativeMsgHost.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

apnmcp.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

APNSetup.exe - not-a-virus:WebToolbar.Win32.Asparnet.ay

BrowserHost.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

DeskBar.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

searchhook.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

ServiceLocator.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

SO.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

toolbar.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

Toolbar.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

ToolbarPS.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

TopSitesRT.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

APNNativeMsgHost_0.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

apnmcp_0.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

BrowserHost_0.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

DeskBar_0.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

searchhook_0.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

ServiceLocator_0.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

SO_0.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

toolbar_0.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

Toolbar_0.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

ToolbarPS_0.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

TopSitesRT_0.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

UpdateManager.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

tbnhlpr_x64.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

TBNotifier.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

Passport.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

Passport_x64.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

vntldr.exe - not-a-virus:WebToolbar.Win32.Asparnet.ay

Passport_0.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

APNNativeMsgHost_1.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

apnmcp_1.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

BrowserHost_1.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

DeskBar_1.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

searchhook_1.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

ServiceLocator_1.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

SO_1.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

toolbar_1.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

Toolbar_1.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

ToolbarPS_1.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

TopSitesRT_1.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

UpdateManager_0.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

tbnhlpr_x64_0.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

TBNotifier_0.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

Passport_1.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

Passport_x64_0.dll - not-a-virus:WebToolbar.Win32.Asparnet.lx

vntldr_0.exe - not-a-virus:WebToolbar.Win32.Asparnet.ay

TBNotifier_1.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx

 

В антивирусных базах информация по присланным вами файлам отсутствует:

scKeatwM.cmd

com.apn.native_messaging_host_aaaaaiabcopkplhgaedhbloeejhhankf.json

com.apn.native_messaging_host_aaaaaiabcopkplhgaedhbloeejhhankf_0.json

toolbar_x64.dll

tbnhlpr.exe

IdcLdr.exe

IdcLdr_x64.exe

IdcSrv.dll

IdcSrvStub.dll

IdcSrvStub_x64.dll

IdcSrv_x64.dll

vntsrv.dll

com.apn.native_messaging_host_aaaaahaeginbdcckocjkhbciadcafnep.json

com.apn.native_messaging_host_aaaaahlfahldnilidgnlikdckbfehhca.json

toolbar_x64_0.dll

tbnhlpr_0.exe

IdcLdr_0.exe

IdcLdr_x64_0.exe

IdcSrv_0.dll

IdcSrvStub_0.dll

IdcSrvStub_x64_0.dll

IdcSrv_x64_0.dll

vntsrv_0.dll

tbnhlpr_1.exe

bcqr00019.dat

bcqr00020.dat

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Все выполнил.

CollectionLog-2017.07.30-16.25.zip

[regist]

1)

Java(TM) 6 Update 16 [20150326]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF}
McAfee Security Scan Plus [2016/10/30 08:08:59]-->"C:\Program Files\McAfee Security Scan\uninstall.exe"
Shopping App by Ask [20161111]-->MsiExec.exe /X{4F524A2D-5354-2D53-5045-A758B70C2D01}

2)

Unity Web Player [2015/09/06 10:32:34]-->C:\Documents and Settings\Admin\Local Settings\Application Data\Unity\WebPlayer\Uninstall.exe /CurrentUser
Амиго [20150526]-->"C:\Documents and Settings\Admin\Local Settings\Application Data\Amigo\Application\42.0.2311.254\Installer\setup.exe" --uninstall

Если не используете, тоже деинсталируйте.

 

3) Проверьте эти файлы на virustotal

C:\DOCUME~1\ALLUSE~1\APPLIC~1\SysWOW64\scKeatwM.cmd

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
 

4) На всякий случай создайте точку восстановления системы.

 

5)

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\_MEI14202\python27.dll', '');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\SysWOW64\scKeatwM.cmd', '');
 QuarantineFile('c:\documents and settings\admin\local settings\temp\F0074490-9B184F00-ED191770-A87DC620\2a5c20c2a.sys', '');
 QuarantineFileF('c:\program files\remote manipulator system - server\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('c:\documents and settings\admin\local settings\temp\F0074490-9B184F00-ED191770-A87DC620\2a5c20c2a.sys', '32');
 DeleteFileMask('c:\program files\remote manipulator system - server\', '*', true);
 DeleteDirectory('c:\program files\remote manipulator system - server\');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteRepair(2);
 ExecuteRepair(3);
 ExecuteRepair(21);
 ExecuteRepair(4);
 ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
6) Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

 

Изменено 30 июля, 2017 пользователем regist

[8866962]

C:\DOCUME~1\ALLUSE~1\APPLIC~1\SysWOW64\scKeatwM.cmd

- Этого файла в системе не нашлось

 

KLAN-6592760952

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
scKeatwM.cmd
dsfVorbisDecoder.dll
dsfVorbisEncoder.dll
HookDrv.dll
vp8encoder.dll
bcqr00003.dat
bcqr00004.dat
Файлы переданы на исследование.

 

Образ автозапуска сделал

MICROSOF-1FABF9_2017-07-31_11-40-01.7z

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Remote Manipulator System - Server

Search App by Ask

Shopping App by Ask

Служба автоматического обновления программ

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[8866962]

Выполнено

AdwCleanerS0.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[8866962]

Выполнено

AdwCleanerC0.txt

Shortcut.txt

Addition.txt

FRST.txt