Зашифрованы файлы .CRYPT

[AlexPRogressive]

Здравствуйте! Вас беспокоят с Федеральной службы по ветеринарному и фитосанитарному надзору.

Файлы были зашифрованы с расширением .crypt

 

Дешефратор RannohDecryptor не помог, зашифрованные и не зашифрованные файлы отличаются размеров где-то около 1кб

В каждой папке html файл "how_to_back_files", прикрепляю к сообщению.

Так же прикрепляю логи FRST и AutoLogger с одного из зараженных компьютеров.

 

Очень надеемся на Вашу помощь! Заранее спасибо!

Addition.txt

CollectionLog-2017.10.26-15.09.zip

FRST.txt

how_to_back_files.html

[Sandor]

Здравствуйте!

 

Пару зашифрованных документов упакуйте и прикрепите к следующему сообщению.

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

eTranslator

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Zaxar\timetasks.exe', '');
 QuarantineFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe', '');
 QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '');
 QuarantineFile('C:\Users\gorodetskaya\AppData\Local\032B0290-1430151059-0568-C506-B40700080009\cnsc3124.tmp', '');
 QuarantineFile('C:\Users\gorodetskaya\AppData\Local\032B0290-1430151079-0568-C506-B40700080009\snsh7D1F.tmp', '');
 QuarantineFile('C:\Users\gorodetskaya\AppData\Roaming\032B0290-1430140040-0568-C506-B40700080009\jnsl35E0.tmp', '');
 QuarantineFile('C:\Users\gorodetskaya\AppData\Roaming\032B0290-1430140040-0568-C506-B40700080009\nsz99BA.tmp', '');
 QuarantineFileF('c:\program files\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('C:\Users\gorodetskaya\AppData\Local\032B0290-1430151059-0568-C506-B40700080009\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Program Files\Zaxar\timetasks.exe', '32');
 DeleteFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe', '32');
 DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '32');
 DeleteFile('C:\Users\gorodetskaya\AppData\Local\032B0290-1430151059-0568-C506-B40700080009\cnsc3124.tmp', '32');
 DeleteFile('C:\Users\gorodetskaya\AppData\Local\032B0290-1430151079-0568-C506-B40700080009\snsh7D1F.tmp', '32');
 DeleteFile('C:\Users\gorodetskaya\AppData\Roaming\032B0290-1430140040-0568-C506-B40700080009\jnsl35E0.tmp', '32');
 DeleteFile('C:\Users\gorodetskaya\AppData\Roaming\032B0290-1430140040-0568-C506-B40700080009\nsz99BA.tmp', '32');
 DeleteService('bodocifu');
 DeleteService('kelozele');
 DeleteService('qyzykevo');
 DeleteService('rubefysi');
 DeleteFileMask('c:\program files\zaxar', '*', true);
 DeleteDirectory('c:\program files\zaxar');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader', 'command');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(2);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Ярлыки

C:\Users\gorodetskaya\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk

C:\Users\gorodetskaya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk

C:\Users\gorodetskaya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk

исправьте с помощью утилиты ClearLNK.

Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Изменено 26 октября, 2017 пользователем Sandor

[AlexPRogressive]

Прошу прощения, на счет шифта не заметил

Прикрепляю 4 зашифрованных файла разных форматов, и новый лог.

Архив карантин создал, на указанную Вами почту сейчас отправлю

CollectionLog-2017.10.27-09.43.zip

crypt`ованные файлы.zip

Изменено 27 октября, 2017 пользователем Sandor
Убрал карантин

[Sandor]

Тип вымогателя GlobeImposter 2.0, расшифровки, к сожалению, нет.

Будет очистка адвари и мусора.

 

1. Ярлыки

C:\Users\gorodetskaya\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk

C:\Users\gorodetskaya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk

C:\Users\gorodetskaya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk

исправьте с помощью утилиты ClearLNK.

Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

 

2.

Через Панель управления - Удаление программ - удалите нежелательное ПО: Цитата eTranslator

Почему не удалили?

 

3.

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[AlexPRogressive]

Это критично для отчета?

Просто комп уже поменял, тут буду винт форматировать. Винда не нужна, нужно было именно восстановить файлы, тк шифранулись две огромные папки двух отделов, а незадолго до этого на nas`е с бэкапами померли 3 винта из 8-ми... роковое совпадение... ((

Письмо получил
Re: quarantine.zip from AVZ [KLAN-7044604958]

 

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

cnsc3124.tmp.crypt

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

               

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ

 

Спасибо за помощь! Может быть мое обращение поможет кому-то в будущем...)

AdwCleanerS0.txt

ClearLNK-27.10.2017_11-14.log

[Sandor]

тут буду винт форматировать. Винда не нужна

В таком случае не смысла в продолжении лечения.

 

Возьмите на заметку: Рекомендации после удаления вредоносного ПО