вирус шифровальщик, помогите с дешифратором

[vto]

Доброго дня, Коллеги

 

сегодня один из моих пользователей открыл архив из почты и зашифровал прилично файлов

 

вложение в прицепе, вирус точно там

 

если есть возможность помочь с дешифратором, большая просьба

 

b.r. vto

Изменено 5 февраля, 2018 пользователем Sandor
Убрал подозрительный файл

[Sandor]

Здравствуйте!

 

Порядок оформления запроса о помощи

[vto]

Доброго дня, Коллеги

 

в прицепе логи как Вы просили, вроде все сделал

CollectionLog-2018.02.06-09.43.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\ksenia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\README.txt', '');
 QuarantineFile('C:\Users\ksenia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-1546727728-05.02.2018 12@24@462185199.fname-x.vbs.fairytail', '');
 QuarantineFile('C:\Users\ksenia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.txt', '');
 QuarantineFile('C:\Users\ksenia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs', '');
 DeleteFile('C:\Users\ksenia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\README.txt', '32');
 DeleteFile('C:\Users\ksenia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-1546727728-05.02.2018 12@24@462185199.fname-x.vbs.fairytail', '32');
 DeleteFile('C:\Users\ksenia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.txt', '32');
 DeleteFile('C:\Users\ksenia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs', '32');
 DeleteFile('C:\Users\user\Desktop\Поиск в интернете.URL');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Ярлыки

C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk

C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk

исправьте с помощью утилиты ClearLNK.

Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[vto]

Благодарю за участие, KLAN-7608662393

прикладываю файлы

 

CollectionLog-2018.02.06-10.40.zip

ClearLNK-06.02.2018_10-37.log

[Sandor]

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[vto]

 

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Все выполнил

AdwCleanerS0.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[vto]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

Готово

Addition.txt

AdwCleanerC0.txt

FRST.txt

Shortcut.txt

[Sandor]

Не цитируйте, пожалуйста, все предыдущее сообщение. Используйте форму быстрого ответа внизу.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-13518408-1576052608-956698421-1143\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  2018-02-05 16:12 - 2018-02-05 16:12 - 000001620 _____ C:\Users\ksenia\Рабочий стол\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-1546727728-05.02.2018 12@24@462185199.fname-README.txt.fairytail
  2018-02-05 16:12 - 2018-02-05 16:12 - 000000380 _____ C:\Users\Public\README.txt
  2018-02-05 16:12 - 2018-02-05 16:12 - 000000380 _____ C:\Users\Public\Downloads\README.txt
  2018-02-05 16:12 - 2018-02-05 16:12 - 000000380 _____ C:\Users\ksenia\Рабочий стол\README.txt
  2018-02-05 16:12 - 2018-02-05 16:12 - 000000380 _____ C:\Users\ksenia\README.txt
  2018-02-05 16:12 - 2018-02-05 16:12 - 000000380 _____ C:\Users\ksenia\Downloads\README.txt
  2018-02-05 16:12 - 2018-02-05 16:12 - 000000380 _____ C:\Users\ksenia\Documents\README.txt
  2018-02-05 16:11 - 2018-02-05 16:12 - 000000380 _____ C:\Users\ksenia\AppData\Local\README.txt
  2018-02-05 16:11 - 2018-02-05 16:11 - 000000380 _____ C:\Users\ksenia\AppData\README.txt
  2018-02-05 16:11 - 2018-02-05 16:11 - 000000380 _____ C:\Users\ksenia\AppData\LocalLow\README.txt
  2018-02-05 12:42 - 2018-02-05 16:12 - 000001620 _____ C:\Users\ksenia\Documents\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-1546727728-05.02.2018 12@24@462185199.fname-README.txt.fairytail
  2018-02-05 12:42 - 2018-02-05 16:12 - 000000380 _____ C:\Users\ksenia\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2018-02-05 12:42 - 2018-02-05 16:11 - 000001620 _____ C:\Users\ksenia\AppData\Roaming\Microsoft\Windows\Start Menu\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-1546727728-05.02.2018 12@24@462185199.fname-README.txt.fairytail
  2018-02-05 12:41 - 2018-02-05 16:11 - 000001620 _____ C:\Users\ksenia\AppData\Roaming\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-1546727728-05.02.2018 12@24@462185199.fname-README.txt.fairytail
  2018-02-05 12:41 - 2018-02-05 16:11 - 000000380 _____ C:\Users\ksenia\AppData\Roaming\README.txt
  2018-02-05 12:40 - 2018-02-05 16:11 - 000001620 _____ C:\Users\ksenia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-1546727728-05.02.2018 12@24@462185199.fname-README.txt.fairytail
  2018-02-05 12:40 - 2018-02-05 16:11 - 000000380 _____ C:\Users\ksenia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
  2018-02-05 12:27 - 2018-02-05 16:11 - 000001620 _____ C:\Users\ksenia\AppData\Local\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-1546727728-05.02.2018 12@24@462185199.fname-README.txt.fairytail
  2018-02-05 12:26 - 2018-02-05 16:12 - 000001620 _____ C:\Users\Public\Documents\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-1546727728-05.02.2018 12@24@462185199.fname-README.txt.fairytail
  2018-02-05 12:26 - 2018-02-05 16:12 - 000000380 _____ C:\Users\Public\Documents\README.txt
  2018-02-05 12:26 - 2018-02-05 16:07 - 000000380 _____ C:\Users\Все пользователи\README.txt
  2018-02-05 12:26 - 2018-02-05 16:07 - 000000380 _____ C:\ProgramData\README.txt
  2018-02-05 12:26 - 2018-02-05 12:26 - 000001620 _____ C:\Users\Все пользователи\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-1546727728-05.02.2018 12@24@462185199.fname-README.txt.fairytail
  2018-02-05 12:26 - 2018-02-05 12:26 - 000001620 _____ C:\ProgramData\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-1546727728-05.02.2018 12@24@462185199.fname-README.txt.fairytail
  2017-05-23 14:23 - 2017-05-23 15:20 - 000000000 _____ () C:\Users\ksenia\AppData\Local\Temp\bbb92fa0488dac77cc.exe
  2018-02-05 12:24 - 2018-02-05 12:24 - 000332288 _____ () C:\Users\ksenia\AppData\Local\Temp\Приложение 1 постановление для службы судебных приставов.exe
  2017-05-23 16:41 - 2017-05-23 16:41 - 000000000 _____ () C:\Users\rinchest\AppData\Local\Temp\5046b277b95bad3ce1.exe
  ask: {394BD511-B0A0-4756-A1CB-ABA94E5C7E3E} - System32\Tasks\DRPNPS => mshta.exe "hxxp://update.drp.su/nps/online/bin/tools/run.hta" "17.7.17 Online"
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[vto]

вот

Fixlog.txt

[Sandor]

Прошу прощения, в оной строке потерялся символ. Еще раз:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  Task: {394BD511-B0A0-4756-A1CB-ABA94E5C7E3E} - System32\Tasks\DRPNPS => mshta.exe "hxxp://update.drp.su/nps/online/bin/tools/run.hta" "17.7.17 Online"
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[vto]

готово

Fixlog.txt

[Sandor]

С расшифровкой помочь не сможем.

 

Пробуйте восстановить файлы средствами Windows.

Будьте внимательны, это не значит восстановить всю систему. Речь идет только о теневых копиях.

[vto]

эх,

все равно спасибо