globeimposter 2.0 На моем ПК были зашифрованы файлы (в конце добавлено расширение – crypt)

3 февраля, 2018

Здравствуйте.

На моем ПК были зашифрованы файлы (в конце добавлено расширение – crypt)

Попробовал воспользоваться утилитой Kaspersky RannohDecryptor версия 1.9.6.1, пишет, что размер зашифрованного файла не совпадает с оригинальным.

Отправляю вам зашифрованный и оригинальный файл. ( ссылка на файл - https://drive.google.com/open?id=1K3z33xaC0iJl6wcgSTLKGdpulk_tqhhP)

3 февраля, 2018

Порядок оформления запроса о помощи

3 февраля, 2018

Я все сделал, как написано в статье -

Порядок оформления запроса о помощи. Еще раз прикладываю файл CollectionLog-2018.01.30-21.40.zip

3 февраля, 2018

Здравствуйте!

Вероятно не нажали кнопку "Загрузить".

3 февраля, 2018

Да, извиняюсь, не нажал кнопку загрузить

CollectionLog-2018.01.30-21.40.zip

3 февраля, 2018

Текстовый файл с требованием выкупа вместе с парой зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

Через Панель управления - Удаление программ - удалите нежелательное ПО:

DealPly (remove only)

Dealply

desktopy

desktopy.ru

Extended Update

Менеджер браузеров

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('c:\windows\debug\item.dat', '');
 QuarantineFile('c:\windows\debug\ok.dat', '');
 QuarantineFile('c:\windows\help\lsmosee.exe', '');
 QuarantineFile('C:\Windows\TEMP\5e77793d-35fb-4bae-a6b6-575205cdf9a0.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa1" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa3" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ok" /F', 0, 15000, true);
 DeleteFile('c:\windows\debug\item.dat', '32');
 DeleteFile('c:\windows\debug\ok.dat', '32');
 DeleteFile('c:\windows\help\lsmosee.exe', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

3 февраля, 2018

Отправляю зашифрованные документы, с файлом, с требованием выкупа.

Файлы_1.rar

4 февраля, 2018

Сообщаю номер KLAN -

KLAN-7599213263

5 февраля, 2018

Еще, пожалуйста, сообщите ответ вирлаба и

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog.

6 февраля, 2018

Сообщаю ответ вирлаба:

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В антивирусных базах информация по присланным вами файлам отсутствует:
item.dat

В антивирусных базах информация по присланным вами ссылкам отсутствует:
http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail
www.avg.com

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Прикрепляю свежий CollectionLog.

CollectionLog-2018.02.06-19.37.zip

7 февраля, 2018

Тип вымогателя GlobeImposter 2.0 и расшифровки для него нет.

Далее будет только очистка следов и рекламного мусора.

Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

7 февраля, 2018

Прикрепляю файл AdwCleaner

Хотел спросить, в перспективе может выйдет новая версия утилиты Kaspersky RannohDecryptor, которая сможет расшифровать зараженные файлы ?

AdwCleanerS1.txt

8 февраля, 2018

Надежда весьма призрачна. Появится скорее всего только в случае, если будут пойманы злодеи, либо они сами соизволят выложить ключи (известно и такое).

Продолжим очистку:

1.

Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
- Политики IE
- Политики Chrome
  и нажмите Ok.
Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

8 февраля, 2018

Во вложении текстовые файлы

9 февраля, 2018

AdwCleanerS2.txt

Отчет об очистке содержит в имени файла символ [C], а не .

Далее:

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
HKLM-x32\...\RunOnce: [{930CC610-7AFE-40ED-88D5-D6A09D9034B0}] => C:\Users\836D~2\AppData\Local\Temp\{455C6F2F-CBA8-485D-AAD1-5EB4205C4290}\{930CC610-7AFE-40ED-88D5-D6A09D9034B0}.cmd [292 2018-01-28] () <==== ATTENTION
HKLM Group Policy restriction on software: %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ <==== ATTENTION
HKLM Group Policy restriction on software: %ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup\ <==== ATTENTION
HKU\S-1-5-21-3530933586-2999309847-627659207-17164 Group Policy restriction on software: %ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup\ <==== ATTENTION
HKU\S-1-5-21-3530933586-2999309847-627659207-17164 Group Policy restriction on software: %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{957d009b-b459-405d-a2cd-db7d628f8662} <==== ATTENTION (Restriction - IP)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.qvo6.com/web/?utm_source=b&utm_medium=amt&utm_campaign=eXQ&utm_content=ds&from=amt&uid=ST3500418AS_9VMTG561&ts=1380106870&type=default&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.qvo6.com/web/?utm_source=b&utm_medium=amt&utm_campaign=eXQ&utm_content=ds&from=amt&uid=ST3500418AS_9VMTG561&ts=1380106870&type=default&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.qvo6.com/web/?utm_source=b&utm_medium=amt&utm_campaign=eXQ&utm_content=ds&from=amt&uid=ST3500418AS_9VMTG561&ts=1380106870&type=default&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.qvo6.com/web/?utm_source=b&utm_medium=amt&utm_campaign=eXQ&utm_content=ds&from=amt&uid=ST3500418AS_9VMTG561&ts=1380106870&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-999176898-2629079064-599585743-500 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.qvo6.com/web/?utm_source=b&utm_medium=amt&utm_campaign=eXQ&utm_content=ds&from=amt&uid=ST3500418AS_9VMTG561&ts=1380106870&type=default&q={searchTerms}
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-3530933586-2999309847-627659207-17164 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-999176898-2629079064-599585743-500 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
2018-02-03 21:13 - 2013-09-25 14:00 - 000000000 ____D C:\Program Files (x86)\desktopy
Task: {59674CDE-EC5C-4973-8287-6B5CA8D5A908} - System32\Tasks\DRPNPS => Command(1): mshta.exe -> "http://update.drp.su/nps/online/bin/tools/run.hta" "17.7.83 Online" "1514916632499" "3606a621-6618-48b8-baad-0ab2cc9f33bd"
Task: {59674CDE-EC5C-4973-8287-6B5CA8D5A908} - System32\Tasks\DRPNPS => Command(2): SCHTASKS -> /Delete /TN DRPNPS /F
Task: {6E3D88C7-D8A7-4518-8BD0-C6D3A86FD8FA} - System32\Tasks\ScheduledTaskforTI => \arlington\INSTALL$\TI\tiagent.vbs
HKU\S-1-5-21-999176898-2629079064-599585743-500\Software\Classes\.scr: scrfile =>  <==== ATTENTION
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

globeimposter 2.0 На моем ПК были зашифрованы файлы (в конце добавлено расширение – crypt)

Рекомендуемые сообщения

solovnik70

Mark D. Pearlstone

solovnik70

Sandor

solovnik70

Sandor

solovnik70

solovnik70

Sandor

solovnik70

Sandor

solovnik70

Sandor

solovnik70

Sandor

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum