Зашифровались файлы и имеют расширение .wallet

[Alexandrflaming]

Добрый день.

На домашнем компьютере зашифровались файлы и стали недоступны.

Скорее всего это какой-то BTCWare

Компьютер проганял CureIt ничего не находит.

Наверное вирус леквидировался сам но зашифровки остались.

 

В корне диска появился файл с названием ! FILES ENCRYPTED.txt

 

текст файла:

Good afternoon. Your computer underwent PayDay infection. All data are ciphered by a unique key which is only at us.
Without unique key - files cannot be recovered.
Each 24 hours are removed 24 files. (we have their copies)
If not to start the program the decoder within 72 hours, all files on the computer are removed completely, without a possibility of recovery.

Read Attentively instructions how to recover all ciphered data.
PayDay
—------------------------------------------------------—
You will be able to recover files so:
1. to contact us by e-mail: unlocksupp@airmail.cc or BM-2cTVHx6b7RYhJ9gGKZn6yTuBpBBq3LHRkz@bitmessage.ch

- you send your ID identifier and 2 files, up to 1 MB in size everyone.
We decipher them, as proof of a possibility of interpretation.
also you receive the payment instruction. (payment will be in bitcoin)

- report your ID and we will switch off any removal of files
(if do not report your ID identifier, then each 24 hours will be
to be removed on 24 files. If report to ID-we will switch off it)

2. you pay and confirm payment.

3. after payment you receive the program the decoder. Which will recover your data and will switch off function of removal of files.
—------------------------------------------------------—

You have 48 hours on payment.

If you do not manage to pay in 48 hours, then the price of interpretation increases twice.

To recover files, without loss, and on the minimum rate, you have to pay within 48 hours.

Address for detailed instructions e-mail: unlocksupp@airmail.cc or BM-2cTVHx6b7RYhJ9gGKZn6yTuBpBBq3LHRkz@bitmessage.ch

 

 

Возможно такое расшифровать? 

 

Все файлы имеют такой формат имени и расширения типа файлов:

Samsung KNOX.DOCX.[unlocksupp@airmail.cc or BM-2cTVHx6b7RYhJ9gGKZn6yTuBpBBq3LHRkz@bitmessage.ch]-id-1E08.wallet

 

 

Спасибо. Жду дальнейших инструкций.

CollectionLog-2018.01.17-12.59.zip

Изменено 17 января, 2018 пользователем Alexandrflaming

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

SpyHunter4

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\MicrosoftUpd.exe', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\curl\curl.exe', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\curl\curl_7_54.exe', '');
 QuarantineFile('C:\Users\User\gaszilanfofg.exe', '');
 QuarantineFileF('c:\users\user\appdata\roaming\curl', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MicrosoftUpd" /F', 0, 15000, true);
 DeleteFile('C:\ProgramData\MicrosoftUpd.exe', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\curl\curl.exe', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\curl\curl_7_54.exe', '32');
 DeleteFile('C:\Users\User\gaszilanfofg.exe', '32');
 DeleteFileMask('c:\users\user\appdata\roaming\curl', '*', true);
 DeleteDirectory('c:\users\user\appdata\roaming\curl');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gaszilanfofg');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

 

 

файл с названием ! FILES ENCRYPTED.txt

Этот файл и пару зашифрованных документов упакуйте в архив и тоже прикрепите к следующему сообщению. Изменено 17 января, 2018 пользователем Sandor

[Alexandrflaming]

Здравствуйте.

 

1) Вот ответ из почты:

 

Ответ с почты и номер KLAN-7532560597:

 

 

---------- Переадресованное сообщение ----------
От:
Дата: 17 Янв 2018 г. 16:59
Тема: Re: Файл quarantine по требованию из форума [KLAN-7532560597]
Кому: "Александр Ткачук"
Копия:

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.comhttps://www.securelist.com"

--------------------------------------------------------------------------------

@gmail.com>@gmail.com>@kaspersky.com>

 

2) Повторил Логи CollectionLog, предварительно прогнав систему CureIt

 

3) Файл с названием ! FILES ENCRYPTED.txt и Пару зашифрованых файлов добавляю в архиве FILES.rar

CollectionLog-2018.01.17-18.04.zip

FILES.rar

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\user\appdata\roaming\mdnsresponder.exe');
 QuarantineFile('c:\users\user\appdata\roaming\mdnsresponder.exe', '');
 QuarantineFile('C:\Windows\SECOH-QAD.exe', '');
 DeleteFile('c:\users\user\appdata\roaming\mdnsresponder.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Bonjour Service');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(9);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Alexandrflaming]

Провел все действия.

 

На этот раз что-то нашли вроде

Ответ от Лаборатории:

KLAN-7535218112:

 

Отчет с AVZ [KLAN-7535218112]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:
mdnsresponder.exe - Backdoor.Win32.Androm.ownh

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.comhttps://www.securelist.com"

 

 

 

Во вложении отчет с AdwCleaner

Но я после проверки нажал Очистить.

 

AdwCleanerS16.txt

[Sandor]

Новости неутешительные. Тип вымогателя BTCWare PayDay, расшифровки нет. Будет только очистка следов и мусора.

 

я после проверки нажал Очистить.

Покажите отчет C:\AdwCleaner\AdwCleaner[Cx].txt (x - цифра, последний по дате).

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Alexandrflaming]

Вот все отчеты:

AdwCleanerC3.txt

Shortcut.txt

Addition.txt

FRST.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  (Dell Inc.) C:\Users\User\AppData\Roaming\mDNSResponder.exe
  HKU\S-1-5-21-4088082495-538469859-3256754530-1001\...\Run: [Bonjour Service] => C:\Users\User\AppData\Roaming\mDNSResponder.exe [220160 2018-01-18] (Dell Inc.)
  IFEO\SppExtComObj.exe: [Debugger] C:\Windows\SECOH-QAD.exe
  BootExecute: autocheck autochk * sh4native 7099
  GroupPolicy: Restriction - Chrome <==== ATTENTION
  GroupPolicy\User: Restriction <==== ATTENTION
  BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
  BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
  Toolbar: HKLM-x32 - Duckgo - {96AF5545-BC30-4E5D-8E36-836D000A1455} -  No File
  Toolbar: HKU\S-1-5-21-4088082495-538469859-3256754530-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  Folder: C:\tLHs7uXYZfJZ9Iew
  2018-01-18 10:58 - 2018-01-18 10:58 - 000220160 _____ (Dell Inc.) C:\Users\User\AppData\Roaming\mDNSResponder.exe
  2018-01-15 16:36 - 2018-01-15 16:36 - 000558080 _____ (www.update.com) C:\ProgramData\MicrosoftUpd.exe.[unlocksupp@airmail.cc or BM-2cTVHx6b7RYhJ9gGKZn6yTuBpBBq3LHRkz@bitmessage.ch]-id-1E08.wallet
  2018-01-04 20:31 - 2018-01-05 11:59 - 000000000 ____D C:\Users\User\AppData\LocalLow\DuckGo
  2018-01-04 20:31 - 2018-01-05 11:59 - 000000000 ____D C:\Users\User\AppData\Local\DuckGo
  2018-01-17 13:07 - 2018-01-17 13:07 - 000220160 _____ (Dell Inc.) C:\Users\User\AppData\Local\Temp\3B2B.tmp.exe
  2018-01-18 10:58 - 2018-01-18 10:58 - 000220160 _____ (Dell Inc.) C:\Users\User\AppData\Local\Temp\3C8D.tmp.exe
  2018-01-15 19:47 - 2018-01-15 19:47 - 000365568 _____ () C:\Users\User\AppData\Local\Temp\4D01.tmp.exe
  2018-01-17 10:49 - 2018-01-17 10:49 - 000007680 _____ () C:\Users\User\AppData\Local\Temp\6459.tmp.exe
  2018-01-17 10:48 - 2018-01-17 10:48 - 000178176 _____ () C:\Users\User\AppData\Local\Temp\70A1.tmp.exe
  2018-01-15 17:00 - 2018-01-15 17:00 - 000365568 _____ () C:\Users\User\AppData\Local\Temp\851D.tmp.exe
  2018-01-17 10:48 - 2018-01-17 10:48 - 000182272 _____ () C:\Users\User\AppData\Local\Temp\9B1D.tmp.exe
  2018-01-17 18:53 - 2018-01-17 18:53 - 000220160 _____ (Dell Inc.) C:\Users\User\AppData\Local\Temp\B5D.tmp.exe
  2018-01-16 18:56 - 2018-01-16 18:56 - 000482816 _____ () C:\Users\User\AppData\Local\Temp\E021.tmp.exe
  2018-01-14 12:36 - 2018-01-15 17:00 - 000000000 ____D C:\ProgramData\scupd
  2018-01-14 12:36 - 2018-01-14 12:36 - 000003432 _____ C:\Windows\System32\Tasks\System Pdate
  Task: {F134B03E-F757-4F2D-B7C3-7A7D7E5FF19D} - System32\Tasks\System Pdate => C:\ProgramData\scupd\scupd.exe <==== ATTENTION
  HKU\S-1-5-21-4088082495-538469859-3256754530-1001\...\StartupApproved\Run: => "ycAutoLaunch_E945EC6410C7CE86DF55E29C29AFA8B8"
  HKU\S-1-5-21-4088082495-538469859-3256754530-1001\...\StartupApproved\Run: => "gaszilanfofg"
  HKU\S-1-5-21-4088082495-538469859-3256754530-1001\...\StartupApproved\Run: => "2baby"
  HKU\S-1-5-21-4088082495-538469859-3256754530-1001\...\StartupApproved\Run: => "1payday"
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Изменено 18 января, 2018 пользователем Sandor

[Alexandrflaming]

Файл ФиксЛог подкрепил.

 

 

 

Новости неутешительные. Тип вымогателя BTCWare PayDay, расшифровки нет.

 

А есть реальный шанс что расшифруется код и создадут утилиту для Декриптирования?

Лаборатория Касперского то мощная всё же.

Fixlog.txt

[Sandor]

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[Alexandrflaming]

Нашло только то, что я ползунок контроля уч.записей опустил в самый низ.:

Поиск критических уязвимостей
Отключён запрос UAC (контроля учётных записей) на повышение прав для администраторов.
http://windows.microsoft.com/ru-ru/windows/turn-user-account-control-on-off

Обнаружено уязвимостей: 1

 

 

А на счет этого:

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Если нет продукта от Касперского то запрос на расшифровку создать нельзя?

Просто у нас на Украине как бы запрещены продукты из России на законодательном уровне и купить просто так какое то коробочное решение нельзя.

Хотя лично моё мнение - это глупость. И как поступить в этом случае?

Можно ли создать запрос без продуктов? А то файлы расшифровать нужно а "наши" ребята от компании Zillya! этим не занимаются. 

[Sandor]

Во-первых, хочу уточнить, что мы - не сотрудники лаборатории Касперского и почти не имеем с ними связи.

Во-вторых, даже если создадите запрос, шансов на успех практически нет. Разве что, если будут пойманы злоумышленники и у них будут изъяты сервера и ключи, может и появится возможность расшифровки.

 

На заметку:

Рекомендации после удаления вредоносного ПО

[Alexandrflaming]

А я думал что это возможно. 

Во-вторых, даже если создадите запрос, шансов на успех практически нет

 Но ведь как то ж создают ДЕКРИПТОР-УТИЛИТЫ ?

 

На тот же самый  "Dharma" или "CrySIS" и т.д. найдены решения. 

[Sandor]

Конечно, не исключено, что и на этот появится. Следите, например, здесь - https://www.nomoreransom.org/ru/index.html

К сожалению, злодеи тоже не дремлют, улучшают и изменяют свои инструменты...

[Alexandrflaming]

 То что это BTCWare PayDay я определил через сайт https://id-ransomware.malwarehunterteam.com/index.php сразу.

 

Просто я думал что по факту проявлений и обращений пользователей берутся за работу, расшифровывают и информацию добавляют в базы антивирусных сигнатур. А пострадавшим юзерам пишут утилиту-декриптор и выкладывают на офсайтах.

 

 

 

К сожалению, злодеи тоже не дремлют, улучшают и изменяют свои инструменты...

Ну на новый тип шифрования будет новый декриптор - а этот я читал что появился вроде как в Декабре 2017го...