globeimposter 2.0 Зашифрованы файлы, crypt.

[Николай Алякин]

Добрый день. 

 

Сотрудник получил по почте файл, после открытия в каждой папке появился документ hоw_to_back_files.html

Большинство документов зашифровалось, расширение crypt.

Система была проверена Dr.Web Curelt и Avast, вирусов не обнаружено.

Addition2.txt

FRST.txt

how_to_back_files.html

Зараженные файлы.zip

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Николай Алякин]

Порядок оформления запроса о помощи

 

 

Добрый день.

 

Направляю лог-файл

Порядок оформления запроса о помощи

 

 

Добрый день.

 

Направляю лог-файл

CollectionLog-2017.09.13-11.33.zip

[Sandor]

Здравствуйте!

 

Увы, это GlobeImposter 2.0 и расшифровки для него пока нет.

 

Для очистки следов:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  GroupPolicy: Restriction <==== ATTENTION
  2017-09-12 14:51 - 2017-09-12 14:51 - 000004468 _____ C:\Users\buh\AppData\Local\how_to_back_files.html
  2017-09-12 14:43 - 2017-09-12 14:43 - 000004468 _____ C:\Users\buh\Documents\how_to_back_files.html
  2017-09-12 14:43 - 2017-09-12 14:43 - 000004468 _____ C:\Users\buh\Desktop\how_to_back_files.html
  2017-09-12 14:42 - 2017-09-12 14:42 - 000004468 _____ C:\Users\Public\Downloads\how_to_back_files.html
  2017-09-12 14:42 - 2017-09-12 14:42 - 000004468 _____ C:\Users\buh\how_to_back_files.html
  2017-09-12 14:42 - 2017-09-12 14:42 - 000004468 _____ C:\Users\buh\Downloads\how_to_back_files.html
  2017-09-12 14:41 - 2017-09-12 14:41 - 000004468 _____ C:\Users\Public\how_to_back_files.html
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Изменено 13 сентября, 2017 пользователем Sandor

[Николай Алякин]

Большое спасибо.

Fixlog.txt

[Sandor]

Для проверки уязвимых мест:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Николай Алякин]

Направляю файл.

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.18524 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя включен

Автоматическое обновление отключено

Дата установки обновлений: 2015-03-12 12:18:33

------------------------------- [ HotFix ] --------------------------------

HotFix KB3140735 Внимание! Скачать обновления

HotFix KB3145739 Внимание! Скачать обновления

HotFix KB3156013 Внимание! Скачать обновления

HotFix KB3153171 Внимание! Скачать обновления

HotFix KB3205394 Внимание! Скачать обновления

HotFix KB4012212 Внимание! Скачать обновления

HotFix KB4019263 Внимание! Скачать обновления

HotFix KB4022722 Внимание! Скачать обновления

HotFix KB4015546 Внимание! Скачать обновления

HotFix KB4025337 Внимание! Скачать обновления

HotFix KB4034679 Внимание! Скачать обновления

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.11 (64-разрядная) v.5.11.0 Внимание! Скачать обновления

OpenOffice 4.1.1 v.4.11.9775 Внимание! Скачать обновления

--------------------------- [ AppleProduction ] ---------------------------

Bonjour v.3.0.0.10 Внимание! Скачать обновления

^Для проверки новой версии используйте приложение Apple Software Update^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 26 ActiveX v.26.0.0.151 Внимание! Скачать обновления

Adobe Acrobat Reader DC - Russian v.15.017.20053 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - Проверить обновления!^

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 45.0.1 (x86 ru) v.45.0.1 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Firefox!^

 

 

Два антивируса - много:

---------------------- [ AntiVirusFirewallInstall ] -----------------------

360 Total Security v.9.2.0.1164

Avast Free Antivirus v.17.6.2310

 

Оставьте один, удалите второй.

Чистка системы после некорректного удаления антивируса.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  opensource (HKLM-x32\...\{3677D4D8-E5E0-49FC-B86E-06541CF00BBE}) (Version: 1.0.14960.3876 - Your Company Name) Hidden
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

В перечне установленных программ появится

opensource

Деинсталлируйте.

 

Рекомендации после удаления вредоносного ПО