Зашифрованы все файлы вирусом-шифровальщиком SKUNK

[adminrmz 0]

На компьютере зашифрованы базы 1С и все документы вирусом-шифровальщиком SKUNK.

В каждой папке компьютера текстовый файл how_to_back_files, в котором вымогатель просит назначит цену за файл для декодирования.

 

Во вложении выкладываю архив автоматического сборщика логов и скрин файла how_to_back_files.

 

Прошу Вам помочь советами.

Спасибо Вам.

 

CollectionLog-2017.08.14-11.47.zip

[thyrex 1 468]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[adminrmz 0]

Отчет FRST во вложении.

Отчёт FRST.rar

[SQ 831]

Знакома ли Вам?

C:\ProgramData\A50S.vbs

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  Startup: C:\Users\buhgalter\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk [2017-06-30]
  ShortcutTarget: explorer.lnk -> C:\ProgramData\Windows\svchost.vbs (No File)
  ShortcutTarget: explorer.lnk -> C:\Logs\Go.vbs (No File)
  File: C:\Windows\tcpsv\ams.exe
  2017-08-11 20:38 - 2017-08-11 20:38 - 000004935 _____ C:\Users\glbuh\AppData\Local\how_to_back_files.html
  2017-08-11 20:36 - 2017-08-11 20:36 - 000004935 _____ C:\Users\glbuh\Documents\how_to_back_files.html
  2017-08-11 20:35 - 2017-08-11 20:35 - 000004935 _____ C:\Users\glbuh\how_to_back_files.html
  2017-08-11 20:35 - 2017-08-11 20:35 - 000004935 _____ C:\Users\glbuh\Downloads\how_to_back_files.html
  2017-08-11 19:57 - 2017-08-11 19:57 - 000004935 _____ C:\Users\buhgalter\AppData\Local\how_to_back_files.html
  2017-08-11 19:56 - 2017-08-11 19:56 - 000004935 _____ C:\Users\Public\how_to_back_files.html
  2017-08-11 19:56 - 2017-08-11 19:56 - 000004935 _____ C:\Users\Public\Downloads\how_to_back_files.html
  2017-08-11 19:56 - 2017-08-11 19:56 - 000004935 _____ C:\Users\Public\Documents\how_to_back_files.html
  2017-08-11 19:56 - 2017-08-11 19:56 - 000004935 _____ C:\Users\buhgalter\how_to_back_files.html
  2017-08-11 19:56 - 2017-08-11 19:56 - 000004935 _____ C:\Users\buhgalter\Downloads\how_to_back_files.html
  2017-08-11 19:56 - 2017-08-11 19:56 - 000004935 _____ C:\Users\buhgalter\Documents\how_to_back_files.html
  2017-08-11 19:54 - 2017-08-11 19:54 - 000004935 _____ C:\Users\Все пользователи\how_to_back_files.html
  2017-08-11 19:54 - 2017-08-11 19:54 - 000004935 _____ C:\ProgramData\how_to_back_files.html
  2017-08-11 19:51 - 2017-08-11 19:51 - 000001026 _____ C:\Users\Public\{065f0c40-703a-11de-9954-806e6f6e6963}
  File: C:\ProgramData\A50S.vbs
  Zip: C:\ProgramData\A50S.vbs
  Folder: C:\ProgramData\Windows
  Folder: C:\Users\glbuh\AppData\Local\Microsoft Help
  Task: {333A4A79-1433-4022-8650-83BEB6E86BC8} - \GoogleUpdateTaskMachineCore -> No File <==== ATTENTION
  Task: {54F48679-F5CD-4602-BEDF-1E66E998038C} - \GoogleUpdateTaskMachineUA -> No File <==== ATTENTION
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что сервер возможно будет перезагружен.

После перегрузке на рабочем столе появиться архив вида <дата>_<время>.zip (где дата - текущая дата, время - текущее время запуска утилиты FRTS ) отправьте его на newvirus@kaspersky.com

[adminrmz 0]

C:\ProgramData\A50S.vbs - нет мне она не знакома.

Лог-файл (Fixlog.txt) прикреплен.

Fixlog.txt

[SQ 831]

C:\ProgramData\A50S.vbs - нет мне она не знакома.

Отправьте пожалуйста карантин на newvirus@kaspersky.com

C:\Users\AllAutoAdmin1c\Desktop\15.08.2017_12.07.45.zip

Полученный ответ сообщите здесь (с указанием номера KLAN)

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

   

  C:\ProgramData\A50S.vbs

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что сервер возможно будет перезагружен.

[adminrmz 0]

Карантин C:\Users\AllAutoAdmin1c\Desktop\15.08.2017_12.07.45.zip на newvirus@kaspersky.com отправил.

 

Лог-файл (Fixlog.txt) прикреплен.

 

Fixlog.txt

[SQ 831]

Это GlobeImposter2, расшифровки нет.

[adminrmz 0]

Видимо, не тот лог отправил. Извините.

 

Прикрепляю: Fixlog.txt

Fixlog.txt

[SQ 831]

Лог, отправили ранее верный. Но мы на данный момент времени с данным типом зашифрованных файлов с расшифровкой не поможем.

[adminrmz 0]

Понял.

 

Просканировал сервер утилитой Dr.Web CureIt!. Нашёл много вирусов. Возможно среди них имеется вредоносное ПО, которое могло выполнить шифрование файлов. Все найденные файлы отправил в Лабораторию Касперского. Возможно ещё можно расшифровать все файлы сервера. Теперь жду ответ.

[thyrex 1 468]

Вам ответили - нет. И наличие шифратора ничем не поможет