Шифровальщик [Filecode99@cock.li].arrow

[Zanzara]

Здравствуйте!

Пробрался шифровальщик. Файлы теперь в виде id-1DC9A484.[Filecode99@cock.li].arrow

Прошу помощи в расшифровке

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Zanzara]

Порядок оформления запроса о помощи

Не подгрузились логи в первом сообщении (((

CollectionLog-2018.04.04-20.53.zip

[thyrex]

Выполните скрипт в AVZ

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\VKomarov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\W96R2C_payload.exe','');
 QuarantineFile('C:\Users\VKomarov\AppData\Roaming\W96R2C_payload.exe','');
 DeleteFile('C:\Users\VKomarov\AppData\Roaming\W96R2C_payload.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','W96R2C_payload.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','W96R2C_payload.exe');
 DeleteFile('C:\Users\VKomarov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\W96R2C_payload.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[Zanzara]

quarantine.zip отправить не получается. ругается на вирус

CollectionLog-2018.04.04-21.59.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Zanzara]

Отчеты Farbar Recovery

Farbar Recovery.zip

[thyrex]

С расшифровкой помочь не сможем. Только дочистим следы мусора.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:

2018-04-04 15:03 - 2018-04-04 15:03 - 000094720 _____ C:\Windows\system32\W96R2C_payload.exe
2018-04-04 15:03 - 2018-04-03 13:12 - 000094720 _____ C:\Users\ROOT\Downloads\W96R2C_payload.exe
2018-04-04 20:34 - 2018-04-04 20:34 - 000094720 _____ () C:\Users\VKomarov\AppData\Roaming\W96R2C_payload.exe~~~~

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную.