Шифровальщик [cryptomafia@tuta.io]-id-DF8.wallet

[boris888]

Доброго дня!

Большая часть файлов в системе зашифрована. Провел чистку с использованием KVRT, затем CureIt.
дроппер imonset.exe+ibhost, исполняемые файлы шифровальщика сохранил отдельно. Систему, с тех пор как вручную остановил процесс шифрования, не перегружал. Готов предоставить любые логи, файлы.
Прошу профессионалов помочь с расшифровкой, надеюсь, что это возможно. Заранее Вам признателен. Жду инструкций.

С уважением,
Борис

[Sandor]

Здравствуйте!

 

Порядок оформления запроса о помощи

В первом диалоговом окне Autologger нажмите ОК, удерживая нажатой клавишу Shift. Перезагрузки не будет.

[boris888]

@Sandor,  добрый день!

 

Выполнил согласно правилам сбор данных, архив в прикреплении. Обезвредил троян и его сопутствующие модули. Компьютер до сих пор не перезагружал. Опасаюсь, что уже не запущусь.

Сохранил все вычищенные вручную "остатки" трояна:

 Том в устройстве E имеет метку DATA2
 Серийный номер тома: A2E5-C3D2

 Содержимое папки E:\trojan_parts

21.12.2017  13:28    <DIR>          .
21.12.2017  13:28    <DIR>          ..
20.12.2017  04:00                68 1.bat
20.12.2017  04:00               226 1.inf
20.12.2017  16:40            59 416 8AF2F3E03BB.sys
16.12.2017  17:58             2 534 Bd1.bat
14.11.2017  15:16         4 189 696 Bd2.exe
09.12.2017  23:29           272 896 cryptomafia@tuta.io.exe
21.12.2017  13:28                 0 file_list.log
20.12.2017  16:52               692 HCKU-run.REG
20.12.2017  04:01         2 309 632 iMonSet.exe
20.12.2017  05:57            13 680 payday.hta
18.12.2017  01:11             1 789 user1.bat
21.12.2017  13:08    <DIR>          vpnplugins
              11 файлов      6 850 629 байт

 Содержимое папки E:\trojan_parts\vpnplugins

21.12.2017  13:08    <DIR>          .
21.12.2017  13:08    <DIR>          ..
21.12.2017  13:08    <DIR>          servicing
               0 файлов              0 байт

 Содержимое папки E:\trojan_parts\vpnplugins\servicing

21.12.2017  13:08    <DIR>          .
21.12.2017  13:08    <DIR>          ..
20.12.2017  04:01         2 169 344 ibhost.exe
               1 файлов      2 169 344 байт

     Всего файлов:
              12 файлов      9 019 973 байт
               8 папок  56 401 965 056 байт свободно
 

 

Что-то из этого Вам выслать?

Очень прошу помочь в расшифровке файлов. Если, это возможно.

 

 

С уважением,
Борис

CollectionLog-2017.12.21-13.32.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[boris888]

@thyrex,

Доброго дня!

 

Сделал, как Вы указали.

 

С уважением,

Борис

F.zip

[thyrex]

Пароль от RDP, через который к Вам и проникли, смените.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM-x32\...\Run: [3payday] => C:\Users\BGlebov\AppData\Roaming\payday.hta [13680 2017-12-20] ()
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [   *********T:* src='data:*********T:* src='data:*********я9* src='data:********Их *ац *шц *шх **и9*your files * (the data entry has 59 more characters).] => [X]
HKLM-x32\...\Run: [4baby] => C:\Users\BGlebov\AppData\Roaming\payday.hta [13680 2017-12-20] ()
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [   *********T:* src='data:*********T:* src='data:*********я9* src='data:********Их *ац *шц *шх **и9*your files * (the data entry has 59 more characters).] => [X]
Toolbar: HKU\S-1-5-21-109001522-2762888484-3762579527-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} -  No File
Handler: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - C:\Program Files (x86)\Microsoft Office\Office15\MSOSB.DLL No File
Filter: text/xml - {807583E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE15\MSOXMLMF.DLL No File
2017-12-20 05:32 - 2017-12-20 05:33 - 000000107 _____ C:\Program Files\! How Decrypt Files.txt
2017-12-20 04:44 - 2017-12-20 04:44 - 000000107 _____ C:\Program Files (x86)\! How Decrypt Files.txt
2017-12-20 04:15 - 2017-12-20 05:58 - 000000107 _____ C:\Users\BGlebov\AppData\Local\! How Decrypt Files.txt
2017-12-20 04:10 - 2017-12-20 05:57 - 000000107 _____ C:\Users\BGlebov\Desktop\! How Decrypt Files.txt
2017-12-20 04:10 - 2017-12-20 05:57 - 000000107 _____ C:\Users\BGlebov\AppData\Roaming\! How Decrypt Files.txt
2017-12-20 04:09 - 2017-12-20 05:57 - 000000107 _____ C:\Users\Public\Documents\! How Decrypt Files.txt
2017-12-20 04:09 - 2017-12-20 05:57 - 000000107 _____ C:\Users\Public\Desktop\! How Decrypt Files.txt
2017-12-20 04:09 - 2017-12-20 05:57 - 000000107 _____ C:\Users\postgres\Documents\! How Decrypt Files.txt
2017-12-20 04:09 - 2017-12-20 05:57 - 000000107 _____ C:\Users\postgres\AppData\Local\! How Decrypt Files.txt
2017-12-20 04:09 - 2017-12-20 05:57 - 000000107 _____ C:\Users\postgres\! How Decrypt Files.txt
2017-12-20 04:09 - 2017-12-20 05:57 - 000000107 _____ C:\Users\Default\Documents\! How Decrypt Files.txt
2017-12-20 04:09 - 2017-12-20 05:57 - 000000107 _____ C:\Users\Default\AppData\Local\! How Decrypt Files.txt
2017-12-20 04:09 - 2017-12-20 05:57 - 000000107 _____ C:\Users\Default\! How Decrypt Files.txt
2017-12-20 04:09 - 2017-12-20 05:57 - 000000107 _____ C:\Users\BGlebov\Documents\! How Decrypt Files.txt
2017-12-20 04:09 - 2017-12-20 05:57 - 000000107 _____ C:\Users\BGlebov\! How Decrypt Files.txt
2017-12-20 04:09 - 2017-12-20 05:57 - 000000107 _____ C:\Users\! How Decrypt Files.txt
2017-12-20 04:09 - 2017-12-20 04:10 - 000000107 _____ C:\Users\BGlebov\Downloads\! How Decrypt Files.txt
2017-12-20 04:09 - 2017-12-20 04:09 - 000000107 _____ C:\Users\Public\Downloads\! How Decrypt Files.txt
2017-12-20 04:09 - 2017-12-20 04:09 - 000000107 _____ C:\Users\Public\! How Decrypt Files.txt
2017-12-20 04:01 - 2017-12-20 05:57 - 000013680 _____ C:\Users\BGlebov\AppData\Roaming\payday.hta
2017-12-20 04:01 - 2017-12-20 05:57 - 000000107 _____ C:\Users\Все пользователи\! How Decrypt Files.txt
2017-12-20 04:01 - 2017-12-20 05:57 - 000000107 _____ C:\ProgramData\! How Decrypt Files.txt
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[boris888]

@thyrex,

Доброго дня!

 

Сегодня удалось расшифровать част файлов. Пока только системные, диск С.

 

Thyrex, благодарю Вас за помощь! Сейчас хочу убедиться, что на машине нет активной заразы. Затем продолжу расшифровку.

Сделал все то, что Вы советовали на предыдущих шагах. Прикрепляю файлы.

И ожидаю Ваших инструкций или выводов.

Пароль РДП сменил. В ближайшее время прикрою совсем, буду пользоваться ВПН.

 

С уважением,

Борис

 

 

 

 

Addition.txt

fixlist.txt

Fixlog.txt

FRST.txt

[thyrex]

Чистка мусора завершена. Больше помочь нечем

[boris888]

Спасибо!

Тем не менее, вчера обнаружил еще интересную вещь. Создав вручную папку Soft обнаружил тут же, на глазах, несколько созданных файлов *.wallet  (в наименовании присутствовало cryptomafia@tuta.io). В двух браузерах IE и FF были трояны. DrWeb CureIt их не видел(выполнил полную проверку единственного тома). KVRT падал при запуске. Удалось их обнаружить и удалить только в безопасном режиме.

Если возможно, прокомментируйте. Либо для Вашего опыта.

 

С уважением,

Борис

[thyrex]

Сделайте лог МВАМ

[boris888]

Лог MBAM прикрепил. Вижу, что он нашел 3 malware. Тем не менее, ничего не предпринимал. Жду Ваших инструкций.

Заодно прикрепил вчерашний вредонос, троян в архиве, пароль 123.

 

С уважением,

Борис

 

 

mlwb-log21032018.txt

[boris888]

Не готов ждать 3-й день ответа.

В любом случае спасибо за помощь!

 

С уважением,

Борис

[thyrex]

Ничего плохого в логе. МВАМ можно удалить.

 

Создав вручную папку Soft обнаружил тут же, на глазах, несколько созданных файлов *.wallet  (в наименовании присутствовало cryptomafia@tuta.io)

В пустой папке создались файлы? Это невозможно. Если же Вы скопировали туда файлы и они зашифровались, то ищите проблему на другой машине, имеющей доступ к данному компьютеру.

[boris888]

 Суть в том, что на машине был  тот самый троян, прикрепленный к предыдущему письму: browser-safety[1].exe В этом виде троян был прикреплен к IE как надстройка. В другом виде он же, но для FF был в виде кеш файла (здесь набор шестнадцатеричных  символов, лога нет, но могу выложить полный кеш с инфицированным файлом).

В тот момент, когда создавал папку Soft, оба браузера были активны. Делаю из этого вывод (согласен, что неоднозначный вывод), что сие есть результат активности браузеров и, соответственно, одного из экземпляров троянов.

 

Тоже считал, что во вновь созданной, ПУСТОЙ папке невозможно, но это произошло. А это означает только одно: троян был активен в этот момент. Это факт, остальное - исследования и гипотезы.

Других машин нет. Вернее есть ноут, но он был выключен в этот момент (у меня была мысль о стороннем дотсупе по сети). К тому же, никакого МС шаринга к вновь созданной, пустой папке не было извне.

Могу, конечно, форматнуть всю систему и забыть об инциденте, но мне самому интересно разобраться с ситуацией.

 

 

С уважением,

Борис

[thyrex]

Вирусы-шифраторы не шифруют воздух, превращая его в файлы.

 

Указанный файл - это загрузчик и не более.