globeimposter 2.0 Зашифрованы файлы .CRYPT

26 октября, 2017

Здравствуйте! Вас беспокоят с Федеральной службы по ветеринарному и фитосанитарному надзору.

Файлы были зашифрованы с расширением .crypt

Дешефратор RannohDecryptor не помог, зашифрованные и не зашифрованные файлы отличаются размеров где-то около 1кб

В каждой папке html файл "how_to_back_files", прикрепляю к сообщению.

Так же прикрепляю логи FRST и AutoLogger с одного из зараженных компьютеров.

Очень надеемся на Вашу помощь! Заранее спасибо!

Addition.txt

CollectionLog-2017.10.26-15.09.zip

FRST.txt

how_to_back_files.html

26 октября, 2017

Здравствуйте!

Пару зашифрованных документов упакуйте и прикрепите к следующему сообщению.

Через Панель управления - Удаление программ - удалите нежелательное ПО:

eTranslator

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Zaxar\timetasks.exe', '');
 QuarantineFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe', '');
 QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '');
 QuarantineFile('C:\Users\gorodetskaya\AppData\Local\032B0290-1430151059-0568-C506-B40700080009\cnsc3124.tmp', '');
 QuarantineFile('C:\Users\gorodetskaya\AppData\Local\032B0290-1430151079-0568-C506-B40700080009\snsh7D1F.tmp', '');
 QuarantineFile('C:\Users\gorodetskaya\AppData\Roaming\032B0290-1430140040-0568-C506-B40700080009\jnsl35E0.tmp', '');
 QuarantineFile('C:\Users\gorodetskaya\AppData\Roaming\032B0290-1430140040-0568-C506-B40700080009\nsz99BA.tmp', '');
 QuarantineFileF('c:\program files\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('C:\Users\gorodetskaya\AppData\Local\032B0290-1430151059-0568-C506-B40700080009\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Program Files\Zaxar\timetasks.exe', '32');
 DeleteFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe', '32');
 DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '32');
 DeleteFile('C:\Users\gorodetskaya\AppData\Local\032B0290-1430151059-0568-C506-B40700080009\cnsc3124.tmp', '32');
 DeleteFile('C:\Users\gorodetskaya\AppData\Local\032B0290-1430151079-0568-C506-B40700080009\snsh7D1F.tmp', '32');
 DeleteFile('C:\Users\gorodetskaya\AppData\Roaming\032B0290-1430140040-0568-C506-B40700080009\jnsl35E0.tmp', '32');
 DeleteFile('C:\Users\gorodetskaya\AppData\Roaming\032B0290-1430140040-0568-C506-B40700080009\nsz99BA.tmp', '32');
 DeleteService('bodocifu');
 DeleteService('kelozele');
 DeleteService('qyzykevo');
 DeleteService('rubefysi');
 DeleteFileMask('c:\program files\zaxar', '*', true);
 DeleteDirectory('c:\program files\zaxar');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader', 'command');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(2);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Ярлыки

C:\Users\gorodetskaya\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk

C:\Users\gorodetskaya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk

C:\Users\gorodetskaya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk

исправьте с помощью утилиты ClearLNK.

Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Изменено 26 октября, 2017 пользователем Sandor

27 октября, 2017

Прошу прощения, на счет шифта не заметил

Прикрепляю 4 зашифрованных файла разных форматов, и новый лог.

Архив карантин создал, на указанную Вами почту сейчас отправлю

CollectionLog-2017.10.27-09.43.zip

crypt`ованные файлы.zip

Изменено 27 октября, 2017 пользователем Sandor
Убрал карантин

27 октября, 2017

Тип вымогателя GlobeImposter 2.0, расшифровки, к сожалению, нет.

Будет очистка адвари и мусора.

1. Ярлыки

C:\Users\gorodetskaya\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk

C:\Users\gorodetskaya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk

C:\Users\gorodetskaya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk

исправьте с помощью утилиты ClearLNK.

Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

2.

Через Панель управления - Удаление программ - удалите нежелательное ПО: Цитата eTranslator

Почему не удалили?

3.

Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

27 октября, 2017

Это критично для отчета?

Просто комп уже поменял, тут буду винт форматировать. Винда не нужна, нужно было именно восстановить файлы, тк шифранулись две огромные папки двух отделов, а незадолго до этого на nas`е с бэкапами померли 3 винта из 8-ми... роковое совпадение... ((

Письмо получил
Re: quarantine.zip from AVZ [KLAN-7044604958]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:

cnsc3124.tmp.crypt

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

Спасибо за помощь! Может быть мое обращение поможет кому-то в будущем...)

AdwCleanerS0.txt

ClearLNK-27.10.2017_11-14.log

27 октября, 2017

тут буду винт форматировать. Винда не нужна

В таком случае не смысла в продолжении лечения.

Возьмите на заметку: Рекомендации после удаления вредоносного ПО

globeimposter 2.0 Зашифрованы файлы .CRYPT

Рекомендуемые сообщения

AlexPRogressive

Sandor

AlexPRogressive

Sandor

AlexPRogressive

Sandor

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum