Шифровальщик wog@onionmail.info

[HakypkuH]

зашифрованы все файлы кроме *.exe, *.dll , имя файлов выглядит следующим образом
имяфайла.расширение.wog@onionmail.info
 
Например Профили.xml.wog@onionmail.info-11baae9204990064 или аватарка.JPG.wog@onionmail.info-4668ffbf455b468c
 
антивирус, бранмауэр и прочие системы защиты выключены, компьютер автоматически перезагружался в 1:00 ночи
 
в каждой папке файл Dont_Worry.txt с текстом:
 
"Вся Ваша информация  на этом компьютере была зашифрована.
Для расшифровки обратитесь по нижеуказанным контактам.
------------------------------------------------------------
e-mail: wog@onionmail.info
Ваш код для разблокировки: 42943874
-----------------------------------
Если Вам приходит ответ, что почтовый адрес не существует:
 1. Вам не повезло. Адрес заблокировали.
---------
Все инструкции вы получите в ответном письме.
------------------------------------------------------------"
 
Подозреваю что проблема возникла при подключении через средства удаленной помощи со стороннего компьютера
 
в архиве vir.7z скрипты и исполняемые файлы шифровальщика
 

Строгое предупреждение от модератора thyrex

Вредоносное вложение удалено

CollectionLog-2018.04.01-19.31.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\minergate\minergate.exe','');
 DeleteFile('C:\Program Files\minergate\minergate.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[HakypkuH]

Ответ

"Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
minergate.exe - not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него."

 

KLAN-7852962151

 

Новые логи

CollectionLog-2018.04.01-21.27.zip

Изменено 1 апреля, 2018 пользователем HakypkuH

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[HakypkuH]

Отправил в лабораторию еще 2 файла которые по моему мнению шифровали файлы

вот ответ:

"Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
dwintl_x64.exe
gwintl.exe

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте."

 

KLAN-7853061717, KLAN-7853088918

 

Результат работы FarBar

Desktop.zip

Изменено 1 апреля, 2018 пользователем HakypkuH

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2018-04-01] ()
Startup: C:\Users\pomuk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2018-04-01] ()
Startup: C:\Users\sysadmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2018-04-01] ()
Startup: C:\Users\Роман\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt [2018-04-01] ()
2018-04-01 01:41 - 2018-04-01 17:57 - 000000738 _____ C:\WINDOWS\Tasks\Dont_Worry.txt
2018-04-01 01:41 - 2018-04-01 17:57 - 000000738 _____ C:\WINDOWS\SysWOW64\Drivers\Dont_Worry.txt
2018-04-01 01:41 - 2018-04-01 17:57 - 000000738 _____ C:\WINDOWS\SysWOW64\Dont_Worry.txt
2018-04-01 01:41 - 2018-04-01 17:57 - 000000738 _____ C:\WINDOWS\System32\Tasks\Dont_Worry.txt
2018-04-01 01:40 - 2018-04-01 17:57 - 000000738 _____ C:\WINDOWS\system32\Drivers\etc\Dont_Worry.txt
2018-04-01 01:40 - 2018-04-01 17:57 - 000000738 _____ C:\WINDOWS\system32\Drivers\Dont_Worry.txt
2018-04-01 01:40 - 2018-04-01 17:57 - 000000738 _____ C:\WINDOWS\system32\config\Dont_Worry.txt
2018-04-01 01:40 - 2018-04-01 17:57 - 000000738 _____ C:\WINDOWS\system\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\WINDOWS\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\Роман\Downloads\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\Роман\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\Роман\Documents\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\Роман\Desktop\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\Роман\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\Роман\AppData\Roaming\Microsoft\Windows\Start Menu\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\Роман\AppData\Roaming\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\Роман\AppData\LocalLow\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\Роман\AppData\Local\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\Роман\AppData\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\USR1CV8\Downloads\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\USR1CV8\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\USR1CV8\Documents\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\USR1CV8\Desktop\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\USR1CV8\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\USR1CV8\AppData\Roaming\Microsoft\Windows\Start Menu\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\USR1CV8\AppData\Roaming\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\USR1CV8\AppData\LocalLow\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\USR1CV8\AppData\Local\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\USR1CV8\AppData\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\sysadmin\Downloads\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\sysadmin\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\sysadmin\Documents\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\sysadmin\Desktop\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\sysadmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\sysadmin\AppData\Roaming\Microsoft\Windows\Start Menu\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\sysadmin\AppData\Roaming\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\sysadmin\AppData\LocalLow\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\sysadmin\AppData\Local\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\sysadmin\AppData\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\SQLSERVERAGENT\Downloads\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\SQLSERVERAGENT\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\SQLSERVERAGENT\Documents\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\SQLSERVERAGENT\Desktop\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\SQLSERVERAGENT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\SQLSERVERAGENT\AppData\Roaming\Microsoft\Windows\Start Menu\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\SQLSERVERAGENT\AppData\Roaming\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\SQLSERVERAGENT\AppData\LocalLow\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\SQLSERVERAGENT\AppData\Local\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\SQLSERVERAGENT\AppData\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\Public\Downloads\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\Public\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\pomuk\Downloads\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\pomuk\Documents\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\pomuk\Desktop\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\pomuk\AppData\Roaming\Microsoft\Windows\Start Menu\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:56 - 000000738 _____ C:\Users\pomuk\AppData\Roaming\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:55 - 000000738 _____ C:\Users\pomuk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dont_Worry.txt
2018-04-01 01:37 - 2018-04-01 17:55 - 000000738 _____ C:\Users\pomuk\AppData\LocalLow\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:56 - 000000738 _____ C:\Users\Все пользователи\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:56 - 000000738 _____ C:\Users\Public\Documents\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:56 - 000000738 _____ C:\Users\Public\Desktop\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:56 - 000000738 _____ C:\Users\pomuk\AppData\Local\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:56 - 000000738 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:56 - 000000738 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:56 - 000000738 _____ C:\ProgramData\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:55 - 000000738 _____ C:\Users\pomuk\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:55 - 000000738 _____ C:\Users\pomuk\AppData\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:55 - 000000738 _____ C:\Users\MSSQLSERVER\Downloads\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:55 - 000000738 _____ C:\Users\MSSQLSERVER\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:55 - 000000738 _____ C:\Users\MSSQLSERVER\Documents\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:55 - 000000738 _____ C:\Users\MSSQLSERVER\Desktop\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:55 - 000000738 _____ C:\Users\MSSQLSERVER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:55 - 000000738 _____ C:\Users\MSSQLSERVER\AppData\Roaming\Microsoft\Windows\Start Menu\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:55 - 000000738 _____ C:\Users\MSSQLSERVER\AppData\Roaming\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:55 - 000000738 _____ C:\Users\MSSQLSERVER\AppData\LocalLow\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:55 - 000000738 _____ C:\Users\MSSQLSERVER\AppData\Local\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:55 - 000000738 _____ C:\Users\MSSQLSERVER\AppData\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:55 - 000000738 _____ C:\Users\Default\Downloads\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:55 - 000000738 _____ C:\Users\Default\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:55 - 000000738 _____ C:\Users\Default\Documents\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:55 - 000000738 _____ C:\Users\Default\Desktop\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:55 - 000000738 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:55 - 000000738 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:55 - 000000738 _____ C:\Users\Default\AppData\Roaming\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:55 - 000000738 _____ C:\Users\Default\AppData\Local\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:55 - 000000738 _____ C:\Users\Default\AppData\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:55 - 000000738 _____ C:\Users\Default User\Downloads\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:55 - 000000738 _____ C:\Users\Default User\Documents\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:55 - 000000738 _____ C:\Users\Default User\Desktop\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:55 - 000000738 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:55 - 000000738 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:55 - 000000738 _____ C:\Users\Default User\AppData\Roaming\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:55 - 000000738 _____ C:\Users\Default User\AppData\Local\Dont_Worry.txt
2018-04-01 01:36 - 2018-04-01 17:55 - 000000738 _____ C:\Users\Default User\AppData\Dont_Worry.txt
2018-04-01 01:35 - 2018-04-01 17:55 - 000000738 _____ C:\Program Files (x86)\Dont_Worry.txt
2018-04-01 01:34 - 2018-04-01 17:55 - 000000738 _____ C:\Users\Dont_Worry.txt
2018-04-01 01:34 - 2018-04-01 17:54 - 000000738 _____ C:\Program Files\Dont_Worry.txt
2018-04-01 01:34 - 2018-04-01 17:54 - 000000738 _____ C:\Program Files\Common Files\Dont_Worry.txt
Task: {304C77D6-9855-414F-B6E8-464F891495C0} - \Microsoft\Windows\Diagnosis\Clean Recent -> No File <==== ATTENTION
Task: {A9AC1E97-53FA-4830-9383-6AD97B3A47BF} - \Microsoft\Windows\Diagnosis\HDDIdleScan -> No File <==== ATTENTION
Task: {B7DF025E-7CE4-45B5-8544-13FF51AEC4A8} - \Microsoft\Windows\Diagnosis\Clean Recent on logon -> No File <==== ATTENTION
Task: {E077EF49-52F4-4CFC-A509-48A59C6E7FBB} - \Optimize Start Menu Cache Files-S-1-5-21-3970856170-1025444615-3167556673-1119 -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[HakypkuH]

Лог файл

Fixlog.txt

[thyrex]

Увы, больше порадовать нечем

[HakypkuH]

Спасибо и на этом, позже отпишусь если будет результат какой либо

[HakypkuH]

https://id-ransomware.blogspot.ru/2018/04/dontworry-ransomware.html

 

Появилась статья об этом вирусе, уже хорошо.

Надеюсь спецы придумают как расшифровать инфу

[thyrex]

Особо не надейтесь. Расшифровки даже прародителей в лице AMBA не было