Шифровальщик .FUCK

[SM1970]

Добрый день.

 

Сегодня словили шифровальщик с расширением .FUCK

Утилиты с Касперского не помогают.

Посылаю CollectionLog, и архив с зашифрованным файлом, оригинальным файлом и требованием вымогателей.

 

Помогите, пожалуйста.

CollectionLog-2017.11.18-22.34.zip

encrypted.zip

[thyrex]

Выполните скрипт в AVZ

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteService('SpyHunter 4 Service');
 TerminateProcessByName('c:\windows\vpnplugins\servicing\ibhost.exe');
 QuarantineFile('c:\windows\vpnplugins\servicing\ibhost.exe','');
 DeleteFile('c:\windows\vpnplugins\servicing\ibhost.exe','32');
 DeleteFile('C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\SpyHunter4Startup','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9); 
end.

• Обратите внимание: перезагрузку компьютера выполните вручную.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[SM1970]

Ответ Касперского KLAN-7187221142 :

 

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
ibhost.exe

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

CollectionLog-2017.11.19-00.16.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[SM1970]

Farbar Recovery Scan Tool

Farbar Recovery Scan Tool.zip

[thyrex]

Это GlobeImposter2. Расшифровки нет, только зачистка следов вирусов.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2017-11-18 15:31 - 2017-11-18 15:31 - 000005417 _____ C:\Program Files (x86)\how_to_back_files.html
2017-11-18 15:27 - 2017-11-18 15:27 - 000005417 _____ C:\Users\Default\how_to_back_files.html
2017-11-18 15:27 - 2017-11-18 15:27 - 000005417 _____ C:\Users\Administrator\how_to_back_files.html
2017-11-18 15:27 - 2017-11-18 15:27 - 000005417 _____ C:\Users\Administrator\Downloads\how_to_back_files.html
2017-11-18 15:27 - 2017-11-18 15:27 - 000005417 _____ C:\Users\Administrator\Documents\how_to_back_files.html
2017-11-18 15:27 - 2017-11-18 15:27 - 000005417 _____ C:\Users\Administrator\Desktop\how_to_back_files.html
2017-11-18 15:27 - 2017-11-18 15:27 - 000005417 _____ C:\Users\Administrator\AppData\Local\how_to_back_files.html
2017-11-18 15:27 - 2017-11-18 15:27 - 000005417 _____ C:\Users\1C_Support\how_to_back_files.html
2017-11-18 15:27 - 2017-11-18 15:27 - 000005417 _____ C:\Users\1C_Support\Downloads\how_to_back_files.html
2017-11-18 15:27 - 2017-11-18 15:27 - 000005417 _____ C:\Users\1C_Support\Documents\how_to_back_files.html
2017-11-18 15:27 - 2017-11-18 15:27 - 000005417 _____ C:\Users\1C_Support\Desktop\how_to_back_files.html
2017-11-18 15:27 - 2017-11-18 15:27 - 000005417 _____ C:\Users\1C_Support\AppData\Local\how_to_back_files.html
2017-11-18 14:47 - 2017-11-18 14:47 - 000005417 _____ C:\Users\makar\AppData\Local\how_to_back_files.html
2017-11-18 14:46 - 2017-11-18 14:46 - 000005417 _____ C:\Users\makar\Downloads\how_to_back_files.html
2017-11-18 14:46 - 2017-11-18 14:46 - 000005417 _____ C:\Users\makar\Documents\how_to_back_files.html
2017-11-18 14:46 - 2017-11-18 14:46 - 000005417 _____ C:\Users\makar\AppData\Roaming\how_to_back_files.html
2017-11-18 14:45 - 2017-11-18 14:45 - 000005417 _____ C:\Users\MSSQLFDLauncher\how_to_back_files.html
2017-11-18 14:45 - 2017-11-18 14:45 - 000005417 _____ C:\Users\MsDtsServer110\how_to_back_files.html
2017-11-18 14:45 - 2017-11-18 14:45 - 000005417 _____ C:\Users\manadm\how_to_back_files.html
2017-11-18 14:45 - 2017-11-18 14:45 - 000005417 _____ C:\Users\manadm\Downloads\how_to_back_files.html
2017-11-18 14:45 - 2017-11-18 14:45 - 000005417 _____ C:\Users\manadm\Documents\how_to_back_files.html
2017-11-18 14:45 - 2017-11-18 14:45 - 000005417 _____ C:\Users\manadm\Desktop\how_to_back_files.html
2017-11-18 14:45 - 2017-11-18 14:45 - 000005417 _____ C:\Users\manadm\AppData\Local\how_to_back_files.html
2017-11-18 14:45 - 2017-11-18 14:45 - 000005417 _____ C:\Users\makar\how_to_back_files.html
2017-11-18 14:43 - 2017-11-18 14:43 - 000005417 _____ C:\Users\teplinskiy_y\AppData\Local\how_to_back_files.html
2017-11-18 14:42 - 2017-11-18 14:42 - 000005417 _____ C:\Users\virtsql\how_to_back_files.html
2017-11-18 14:42 - 2017-11-18 14:42 - 000005417 _____ C:\Users\USR1CV8\how_to_back_files.html
2017-11-18 14:42 - 2017-11-18 14:42 - 000005417 _____ C:\Users\USR1CV8\AppData\Local\how_to_back_files.html
2017-11-18 14:42 - 2017-11-18 14:42 - 000005417 _____ C:\Users\teplinskiy_y\how_to_back_files.html
2017-11-18 14:42 - 2017-11-18 14:42 - 000005417 _____ C:\Users\teplinskiy_y\Downloads\how_to_back_files.html
2017-11-18 14:42 - 2017-11-18 14:42 - 000005417 _____ C:\Users\teplinskiy_y\Documents\how_to_back_files.html
2017-11-18 14:42 - 2017-11-18 14:42 - 000005417 _____ C:\Users\teplinskiy_y\Desktop\how_to_back_files.html
2017-11-18 14:42 - 2017-11-18 14:42 - 000005417 _____ C:\Users\Public\how_to_back_files.html
2017-11-18 14:42 - 2017-11-18 14:42 - 000005417 _____ C:\Users\Public\Downloads\how_to_back_files.html
2017-11-18 14:42 - 2017-11-18 14:42 - 000005417 _____ C:\Users\Public\Documents\how_to_back_files.html
2017-11-18 14:42 - 2017-11-18 14:42 - 000005417 _____ C:\Users\how_to_back_files.html
2017-11-18 14:42 - 2017-11-18 14:42 - 000005417 _____ C:\Users\adm\how_to_back_files.html
2017-11-18 14:42 - 2017-11-18 14:42 - 000005417 _____ C:\Users\adm\Downloads\how_to_back_files.html
2017-11-18 14:42 - 2017-11-18 14:42 - 000005417 _____ C:\Users\adm\Documents\how_to_back_files.html
2017-11-18 14:42 - 2017-11-18 14:42 - 000005417 _____ C:\Users\adm\Desktop\how_to_back_files.html
2017-11-18 14:42 - 2017-11-18 14:42 - 000005417 _____ C:\Users\adm\AppData\Local\how_to_back_files.html
2017-11-18 14:42 - 2017-11-18 14:42 - 000005417 _____ C:\ProgramData\how_to_back_files.html
2017-11-18 14:41 - 2017-11-18 14:41 - 000000000 ____D C:\Windows\vpnplugins
Task: {0CC250C2-50B6-4CA5-9661-CFEB8572594A} - \SpyHunter4Startup -> No File <==== ATTENTION

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную.