Разшифровка файлов после шифровальщика (*.sigrun)

[DarkExspiravit]

Здравствуйте!

Ко мне обратились с просьбой переустановить Windows и очистить вирусы.
Просмотрев файлы на этом ПК я заметил что они зашифрованы шифровальщиком. Расспросив более подробно я выяснил что на ПК изначально был установлен Zilla! Antivirus при работе которого случилось заражение. Как именно случилось заражение владелец ПК (девочка-второкурсница) не говорит. Но до меня вирусы пытались вылечить студенты-умельцы. Время шифрования файлов попадает на период от 23:00 23.05.2018 до 01:00 24.05.2018. Не знаю были ли зашифрованы файлы ещё до студентов или это дело кривых рук этих самых студентов. Они прогнали проверку SpyHunter 4 и CheckMAL AppCheck после чего сказали что вирусов очень много и нужно переустановить Windows.

Я выяснил что шифровальщик называется sigrun ransomware. К сожалению после студентов не осталось записки с выкупом но может ещё посмотрев логи AutoLogger кто-то сможет мне помочь. Также додаю пример зараженного файла

CollectionLog-2018.05.26-08.54.zip

файлы.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

 QuarantineFile('C:\Users\Admin\AppData\Roaming\svchostx64.exe','');

 QuarantineFile('C:\Users\Admin\gaszilanfofg.exe','');

 QuarantineFile('C:\Users\Admin\AppData\Local\VZEUJV~1\WINUPD~1.EXE','');

 QuarantineFile('C:\Users\Admin\M-5050506265024805240640200\winsvc.exe','');

 QuarantineFile('C:\Users\Admin\M-0857948697957959\winsvcroug.exe','');

 QuarantineFile('C:\Users\Admin\M-505958576840600505580505058\winsvccrn.exe','');

 QuarantineFile('C:\Users\Admin\M-84864857959479508850505749\winsvcr.exe','');

 QuarantineFile('C:\Users\Admin\M-5050050640745700375076006680\winmgr.exe','');

 TerminateProcessByName('c:\users\admin\appdata\local\vzeujvqezt\winupdsvc.exe');

 QuarantineFile('c:\users\admin\appdata\local\vzeujvqezt\winupdsvc.exe','');

 DeleteFile('c:\users\admin\appdata\local\vzeujvqezt\winupdsvc.exe','32');

 DeleteFile('C:\Users\Admin\M-5050050640745700375076006680\winmgr.exe','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows Manager');

 DeleteFile('C:\Users\Admin\M-84864857959479508850505749\winsvcr.exe','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows Srvcs');

 DeleteFile('C:\Users\Admin\M-505958576840600505580505058\winsvccrn.exe','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows SVCSc');

 DeleteFile('C:\Users\Admin\M-0857948697957959\winsvcroug.exe','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows Srvcks');

 DeleteFile('C:\Users\Admin\M-5050506265024805240640200\winsvc.exe','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows Service');

 DeleteFile('C:\Users\Admin\AppData\Local\VZEUJV~1\WINUPD~1.EXE','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dGpDguAlnf');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','gaszilanfofg');

 DeleteFile('C:\Users\Admin\gaszilanfofg.exe','32');

 DeleteFile('C:\Users\Admin\AppData\Roaming\svchostx64.exe','32');

 DeleteFile('C:\Windows\system32\Tasks\Adasdsadas3id','64');

ExecuteSysClean;

RebootWindows(true);

end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера).

 

O4 - HKCU\..\Run: [Microsoft Windows Manager] = C:\Users\Admin\M-5050050640745700375076006680\winmgr.exe

O4 - HKCU\..\Run: [Microsoft Windows SVCSc] = C:\Users\Admin\M-505958576840600505580505058\winsvccrn.exe  (file missing)

O4 - HKCU\..\Run: [Microsoft Windows Service] = C:\Users\Admin\M-5050506265024805240640200\winsvc.exe

O4 - HKCU\..\Run: [Microsoft Windows Srvcks] = C:\Users\Admin\M-0857948697957959\winsvcroug.exe  (file missing)

O4 - HKCU\..\Run: [Microsoft Windows Srvcs] = C:\Users\Admin\M-84864857959479508850505749\winsvcr.exe  (file missing)

O4 - HKCU\..\Run: [Regedit32] = C:\Windows\system32\regedit.exe  (file missing)

O4 - HKCU\..\Run: [dGpDguAlnf] = C:\Users\Admin\AppData\Local\VzEujvQEZT\winupdsvc.exe

O4 - HKCU\..\Run: [gaszilanfofg] = C:\Users\Admin\gaszilanfofg.exe

O22 - Task (Job): (Not scheduled) ParetoLogic Registration3.job - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll" RunUns

 

Деинсталлируйте McAfee Security Scan Plus, SpyHunter 4. 

 

Сделайте новые логи Автологгером. 

 

[DarkExspiravit]

Карантин отправил на указанную почту. Деинсталировал антивирусы, пофиксил все и сделал новый лог.

CollectionLog-2018.05.26-13.16.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[DarkExspiravit]

Сделал!

 

Спасибо что помогаете!

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
2018-05-26 12:24 - 2018-05-26 12:53 - 000000000 _RSHD C:\Users\Admin\T-5060548008706965508605070
2018-05-25 19:31 - 2018-05-25 19:42 - 000000000 ___HD C:\GiQ3nF4NQGobQ59f
virustotal: C:\Users\Admin\AppData\Roaming\3224818104.exe
2018-05-24 09:16 - 2018-05-24 09:16 - 000146944 _____ C:\Users\Admin\AppData\Roaming\3224818104.exe
2018-05-23 22:56 - 2018-05-26 08:25 - 000000000 _RSHD C:\Users\Admin\M-5050050640745700375076006680
virustotal: C:\Users\Admin\AppData\Roaming\2282214373.exe
C:\Users\Admin\AppData\Roaming\2282214373.exe
2018-05-22 13:39 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050045602465802804640
2018-05-15 14:15 - 2018-05-26 13:02 - 000000000 _RSHD C:\Users\Admin\M-5050506265024805240640200
2018-05-14 16:56 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-505050068756458660840
2018-05-09 15:01 - 2018-05-09 15:01 - 000028160 _____ C:\Users\Admin\AppData\Roaming\3489015373.exe
2018-05-09 13:39 - 2018-05-09 13:39 - 000028160 _____ C:\Users\Admin\AppData\Roaming\2175834963.exe
2018-05-09 12:59 - 2018-05-09 12:59 - 000028160 _____ C:\Users\Admin\AppData\Roaming\1121215938.exe
2018-05-09 12:06 - 2018-05-09 12:06 - 000028160 _____ C:\Users\Admin\AppData\Roaming\2516913143.exe
2018-05-09 12:06 - 2018-05-09 12:06 - 000028160 _____ C:\Users\Admin\AppData\Roaming\1581722586.exe
2018-05-09 01:00 - 2018-05-09 01:00 - 000028160 _____ C:\Users\Admin\AppData\Roaming\1241725572.exe
2018-05-08 23:59 - 2018-05-08 23:59 - 000028160 _____ C:\Users\Admin\AppData\Roaming\4055238615.exe
2018-05-08 22:59 - 2018-05-08 22:59 - 000028160 _____ C:\Users\Admin\AppData\Roaming\3341421231.exe
2018-05-08 14:05 - 2018-05-08 14:05 - 000028160 _____ C:\Users\Admin\AppData\Roaming\2600728630.exe
2018-05-08 13:27 - 2018-05-08 13:27 - 000028160 _____ C:\Users\Admin\AppData\Roaming\3085640080.exe
2018-05-08 13:12 - 2018-05-08 13:12 - 000028160 _____ C:\Users\Admin\AppData\Roaming\1656842178.exe
2018-05-08 11:49 - 2018-05-08 11:49 - 000028160 _____ C:\Users\Admin\AppData\Roaming\1912426641.exe
2018-05-08 11:24 - 2018-05-26 08:25 - 000000000 _RSHD C:\Users\Admin\M-500580508606
2018-05-08 11:24 - 2018-05-08 11:24 - 000028160 _____ C:\Users\Admin\AppData\Roaming\2210232401.exe
2018-05-08 11:23 - 2018-05-08 11:23 - 000028160 _____ C:\Users\Admin\AppData\Roaming\4146426833.exe
2018-05-07 16:19 - 2018-05-25 20:04 - 000000000 _RSHD C:\Users\Admin\M-55052645082605024
2018-05-07 16:13 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050240562497502478562840
2018-04-26 09:25 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050506208520468520486082450
2018-04-24 14:20 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050265802658046582004020
2018-04-19 17:50 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050805868050685086870
2018-04-16 17:38 - 2018-05-26 08:25 - 000000000 _RSHD C:\Users\Admin\M-5050508460580687540
2018-04-13 09:21 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-55082652605820630852
2018-04-13 08:37 - 2018-05-26 08:25 - 000000000 _RSHD C:\Users\Admin\M-9758463
2018-04-12 19:42 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050864506066855680508460
2018-04-12 19:39 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050650508506450000866050
2018-04-12 18:41 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-50505286526856202620304602
2018-04-11 19:35 - 2018-05-26 08:25 - 000000000 _RSHD C:\Users\Admin\M-50505235240626305020
2018-04-11 19:13 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-505049764065650465060505058608
2018-04-11 15:43 - 2018-05-25 20:04 - 000000000 _RSHD C:\Users\Admin\M-254525269572524649
2018-04-11 15:41 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050065845655086047056050
2018-04-11 09:48 - 2018-05-26 12:54 - 000000000 ____D C:\Users\Admin\AppData\Local\VzEujvQEZT
2018-04-04 19:33 - 2018-05-25 20:05 - 000000000 _RSHD C:\Users\Admin\M-870695784634579669
2018-04-04 19:17 - 2018-05-25 20:04 - 000000000 _RSHD C:\Users\Admin\M-86957864357864579
2018-04-04 18:38 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-0869574863572348975868657
2018-04-04 18:27 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-858680705668704605687605059689
2018-04-04 18:08 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-089574863752368457679
2018-04-04 17:50 - 2018-05-26 08:25 - 000000000 _RSHD C:\Users\Admin\M-2466246245452
2018-04-04 17:33 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-85634736569898568580500
2018-04-04 17:18 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-68957486357234548795486384957685
2018-04-04 16:51 - 2018-05-25 20:05 - 000000000 _RSHD C:\Users\Admin\M-974859952596975
2018-04-04 16:42 - 2018-05-25 20:04 - 000000000 _RSHD C:\Users\Admin\M-08586085860770
2018-04-04 15:23 - 2018-05-25 20:05 - 000000000 _RSHD C:\Users\Admin\M-9758z7864675
2018-04-04 14:57 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-502658254205082648056208460
2018-04-04 14:20 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-95795979595957959697650
2018-04-04 13:55 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-97659869475979659647959555590
2018-04-03 17:04 - 2018-05-25 20:04 - 000000000 _RSHD C:\Users\Admin\M-0857948697957959
2018-04-03 13:49 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-505958576840600505580505058
2018-04-03 13:19 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-0585060850508068008504005500959
2018-04-03 12:25 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-50508667586006508504660560860
2018-04-03 11:02 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-84864857959479508850505749
2018-04-03 10:54 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-08564675859547365386475959479
2018-04-03 10:25 - 2018-05-25 20:05 - 000000000 _RSHD C:\Users\Admin\M-zt97r86e5733486579
2018-04-03 09:26 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050520865802655632060635025
2018-04-03 09:25 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050576074506040757804060
2018-04-02 18:56 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-505008680506006060648068050
2018-04-02 18:05 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050586080625875096858607505086080
2018-04-02 14:35 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-505058554085705845670606
2018-04-01 18:59 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-50505068060740568780405670660
2018-04-01 18:58 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050506806850880580607670660
2018-04-01 18:55 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-505059862068046502485626052650620
2018-03-29 22:36 - 2018-05-26 08:25 - 000000000 _RSHD C:\Users\Admin\M-50505203560265802375082062037520
2018-03-29 22:36 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5068050786058006780050600
2018-03-29 22:35 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5856756459898586598495
2018-03-29 22:34 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050508600507406805068650
2018-05-09 12:59 - 2018-05-09 12:59 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\1121215938.exe
2018-05-09 01:00 - 2018-05-09 01:00 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\1241725572.exe
2018-05-09 12:06 - 2018-05-09 12:06 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\1581722586.exe
2018-05-08 13:12 - 2018-05-08 13:12 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\1656842178.exe
2018-05-08 11:49 - 2018-05-08 11:49 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\1912426641.exe
2018-05-09 13:39 - 2018-05-09 13:39 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\2175834963.exe
2018-05-08 11:24 - 2018-05-08 11:24 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\2210232401.exe
2018-05-23 22:56 - 2018-05-23 22:56 - 000146944 _____ () C:\Users\Admin\AppData\Roaming\2282214373.exe
2018-05-09 12:06 - 2018-05-09 12:06 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\2516913143.exe
2018-05-08 14:05 - 2018-05-08 14:05 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\2600728630.exe
2018-05-08 13:27 - 2018-05-08 13:27 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\3085640080.exe
2018-05-24 09:16 - 2018-05-24 09:16 - 000146944 _____ () C:\Users\Admin\AppData\Roaming\3224818104.exe
2018-05-08 22:59 - 2018-05-08 22:59 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\3341421231.exe
2018-05-09 15:01 - 2018-05-09 15:01 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\3489015373.exe
2018-05-08 23:59 - 2018-05-08 23:59 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\4055238615.exe
2018-05-08 11:23 - 2018-05-08 11:23 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\4146426833.exe
2018-03-29 22:34 - 2018-05-26 12:39 - 000000000 ____H () C:\Users\Admin\AppData\Roaming\winmgr.txt
2018-05-26 12:24 - 2018-05-26 12:24 - 000231936 ____N () C:\Users\Admin\AppData\Local\Temp\100793063427146.exe
2018-05-24 09:16 - 2018-05-24 09:16 - 000146944 _____ () C:\Users\Admin\AppData\Local\Temp\121531597917999.exe
2018-04-26 13:03 - 2018-04-26 13:03 - 000005632 _____ () C:\Users\Admin\AppData\Local\Temp\140032416615003.exe
2018-04-27 23:01 - 2018-04-27 23:01 - 000000285 _____ () C:\Users\Admin\AppData\Local\Temp\140041238222345.exe
2018-04-02 20:14 - 2018-04-02 20:14 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\1419119222.exe
2018-04-11 16:00 - 2018-04-11 16:00 - 000120064 _____ () C:\Users\Admin\AppData\Local\Temp\1466040313.exe
2018-04-02 19:44 - 2018-04-02 19:44 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\1584520149.exe
2018-04-11 16:01 - 2018-04-11 16:01 - 000120064 _____ () C:\Users\Admin\AppData\Local\Temp\1615724815.exe
2018-04-11 09:48 - 2018-04-11 09:48 - 000000285 _____ () C:\Users\Admin\AppData\Local\Temp\162443219536505.exe
2018-04-02 20:14 - 2018-04-02 20:14 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\1670616805.exe
2018-05-26 10:41 - 2018-05-26 10:41 - 000808960 _____ () C:\Users\Admin\AppData\Local\Temp\170321067241433.exe
2018-04-07 11:30 - 2018-04-07 11:30 - 000004608 _____ () C:\Users\Admin\AppData\Local\Temp\179214224737758.exe
2018-04-11 19:35 - 2018-04-11 19:35 - 000045568 _____ () C:\Users\Admin\AppData\Local\Temp\180281961533341.exe
2018-05-26 08:50 - 2018-05-26 08:50 - 000808960 _____ () C:\Users\Admin\AppData\Local\Temp\182022843829987.exe
2018-04-02 22:23 - 2018-04-02 22:23 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\1849736655.exe
2018-03-29 23:24 - 2018-03-29 23:24 - 000043520 _____ () C:\Users\Admin\AppData\Local\Temp\185633905720409.exe
2018-04-02 23:48 - 2018-04-02 23:48 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\1926821326.exe
2018-05-15 15:27 - 2018-05-15 15:27 - 000046080 _____ () C:\Users\Admin\AppData\Local\Temp\198562538127864.exe
2018-05-15 16:48 - 2018-05-15 16:48 - 000046080 _____ () C:\Users\Admin\AppData\Local\Temp\205311408413326.exe
2018-04-04 20:15 - 2018-04-04 20:23 - 000043077 _____ () C:\Users\Admin\AppData\Local\Temp\212693925542698.exe
2018-04-11 20:26 - 2018-04-11 20:26 - 000045568 _____ () C:\Users\Admin\AppData\Local\Temp\219411040716801.exe
2018-04-03 00:24 - 2018-04-03 00:24 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\2205234124.exe
2018-04-04 18:00 - 2018-04-04 18:00 - 000037376 _____ () C:\Users\Admin\AppData\Local\Temp\220613344213189.exe
2018-05-15 14:15 - 2018-05-15 14:15 - 000046080 _____ () C:\Users\Admin\AppData\Local\Temp\225583176926914.exe
2018-04-04 17:50 - 2018-04-04 17:50 - 000037376 _____ () C:\Users\Admin\AppData\Local\Temp\226802979932595.exe
2018-03-29 23:07 - 2018-03-29 23:07 - 000043520 _____ () C:\Users\Admin\AppData\Local\Temp\227961520013656.exe
2018-04-04 17:55 - 2018-04-04 17:55 - 000037376 _____ () C:\Users\Admin\AppData\Local\Temp\234973807438297.exe
2018-05-26 12:40 - 2018-05-26 12:40 - 000910848 _____ () C:\Users\Admin\AppData\Local\Temp\241111512722693.exe
2018-04-03 00:45 - 2018-04-03 00:45 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\2482724850.exe
2018-05-26 12:24 - 2018-05-26 12:24 - 000910848 _____ () C:\Users\Admin\AppData\Local\Temp\252012779132389.exe
2018-04-03 00:23 - 2018-04-03 00:23 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\2556020616.exe
2018-05-15 16:29 - 2018-05-15 16:29 - 000046080 _____ () C:\Users\Admin\AppData\Local\Temp\267822629612682.exe
2018-05-23 22:56 - 2018-05-23 22:56 - 000146944 _____ () C:\Users\Admin\AppData\Local\Temp\274362646117580.exe
2018-04-11 15:50 - 2018-04-11 16:00 - 000026005 _____ () C:\Users\Admin\AppData\Local\Temp\2768441048.exe
2018-04-03 00:46 - 2018-04-03 00:46 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\2769529136.exe
2018-04-02 19:36 - 2018-04-02 19:37 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\2804334256.exe
2018-03-29 23:26 - 2018-03-29 23:26 - 000043520 _____ () C:\Users\Admin\AppData\Local\Temp\282932251837696.exe
2018-05-24 11:18 - 2018-05-24 11:18 - 000146944 _____ () C:\Users\Admin\AppData\Local\Temp\284921995414137.exe
2018-04-02 23:34 - 2018-04-02 23:34 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\2934821075.exe
2018-05-07 16:03 - 2018-05-07 16:04 - 000188160 _____ () C:\Users\Admin\AppData\Local\Temp\293543319941914.exe
2018-05-26 12:40 - 2018-05-26 12:40 - 000231936 _____ () C:\Users\Admin\AppData\Local\Temp\299291251322742.exe
2018-05-26 12:24 - 2018-05-26 12:24 - 000231936 _____ () C:\Users\Admin\AppData\Local\Temp\310192517732438.exe
2018-04-16 17:36 - 2018-04-16 17:37 - 000126976 _____ () C:\Users\Admin\AppData\Local\Temp\311563554521082.exe
2018-04-02 20:14 - 2018-04-02 20:14 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\3132922858.exe
2018-05-07 16:15 - 2018-05-07 16:15 - 000188160 _____ () C:\Users\Admin\AppData\Local\Temp\313724237638209.exe
2018-04-07 11:30 - 2018-04-07 11:30 - 000004608 _____ () C:\Users\Admin\AppData\Local\Temp\318281399210859.exe
2018-04-04 18:01 - 2018-04-04 18:01 - 000037376 _____ () C:\Users\Admin\AppData\Local\Temp\320233020539992.exe
2018-04-11 20:07 - 2018-04-11 20:07 - 000045568 _____ () C:\Users\Admin\AppData\Local\Temp\326113422016981.exe
2018-05-08 11:28 - 2018-05-08 11:28 - 000028160 _____ () C:\Users\Admin\AppData\Local\Temp\326691292631098.exe
2018-04-11 19:39 - 2018-04-11 19:39 - 000045568 _____ () C:\Users\Admin\AppData\Local\Temp\332892918137472.exe
2018-04-02 19:43 - 2018-04-02 19:43 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\3364029895.exe
2018-04-16 17:36 - 2018-04-16 17:37 - 000126976 _____ () C:\Users\Admin\AppData\Local\Temp\337083845221232.exe
2018-05-23 22:57 - 2018-05-23 22:57 - 000146944 _____ () C:\Users\Admin\AppData\Local\Temp\339752913037686.exe
2018-05-15 14:15 - 2018-05-15 14:15 - 000083456 _____ () C:\Users\Admin\AppData\Local\Temp\340943687126000.exe
2018-04-02 23:47 - 2018-04-02 23:47 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\3454225782.exe
2018-04-02 20:14 - 2018-04-02 20:14 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\3460612171.exe
2018-04-11 16:01 - 2018-04-11 16:01 - 000120064 _____ () C:\Users\Admin\AppData\Local\Temp\3485210185.exe
2018-05-26 12:24 - 2018-05-26 12:24 - 000231936 ____N () C:\Users\Admin\AppData\Local\Temp\351371196920910.exe
2018-04-02 22:23 - 2018-04-02 22:23 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\3543310093.exe
2018-04-11 09:48 - 2018-04-11 09:48 - 000000285 _____ () C:\Users\Admin\AppData\Local\Temp\356172082218401.exe
2018-04-02 20:15 - 2018-04-02 20:15 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\3604420809.exe
2018-04-13 08:36 - 2018-04-13 08:36 - 000096256 _____ () C:\Users\Admin\AppData\Local\Temp\365203369012406.exe
2018-03-29 22:36 - 2018-03-29 22:36 - 000043520 _____ () C:\Users\Admin\AppData\Local\Temp\370921636121870.exe
2018-04-02 20:15 - 2018-04-02 20:15 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\3784920842.exe
2018-05-24 12:03 - 2018-05-24 12:03 - 000146944 _____ () C:\Users\Admin\AppData\Local\Temp\379493645328878.exe
2018-04-02 19:35 - 2018-04-02 19:37 - 000039162 _____ () C:\Users\Admin\AppData\Local\Temp\381393469016119.exe
2018-05-08 11:28 - 2018-05-08 11:28 - 000011311 _____ () C:\Users\Admin\AppData\Local\Temp\384871031231147.exe
2018-04-02 19:38 - 2018-04-02 19:38 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\3860935788.exe
2018-04-11 15:49 - 2018-04-11 16:00 - 000014325 _____ () C:\Users\Admin\AppData\Local\Temp\4012714187.exe
2018-05-08 11:28 - 2018-05-08 11:28 - 000188160 _____ () C:\Users\Admin\AppData\Local\Temp\405272415532525.exe
2018-04-24 14:20 - 2018-04-24 14:20 - 000024545 _____ () C:\Users\Admin\AppData\Local\Temp\411251819939245.exe
2018-04-12 19:36 - 2018-04-12 19:36 - 000017245 _____ () C:\Users\Admin\AppData\Local\Temp\412003325432267.exe
2018-04-04 18:01 - 2018-04-04 18:01 - 000037376 _____ () C:\Users\Admin\AppData\Local\Temp\414121425041928.exe
2018-05-15 14:28 - 2018-05-15 14:28 - 000046080 _____ () C:\Users\Admin\AppData\Local\Temp\418171747937627.exe
2018-05-23 22:56 - 2018-05-23 22:56 - 000146944 _____ () C:\Users\Admin\AppData\Local\Temp\420334273017685.exe
2018-03-29 22:37 - 2018-03-29 22:37 - 000043520 _____ () C:\Users\Admin\AppData\Local\Temp\423374045838522.exe
Task: {566C31AF-AB88-4219-BAA1-E31E399DD645} - \Adasdsadas3id -> No File <==== ATTENTION
zip:C:\FRST\Quarantine

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите на http://rgho.st/ и пришлите ссылку в личные сообщения.
• 
  

 

 

[DarkExspiravit]

Прикрепил лог FRST, карантин отправил в ЛС

Fixlog.txt

[mike 1]

На форуме с расшифровкой не поможем. Девушке скажите, чтобы сменила все пароли. Ответ по карантину:

 

Следующие файлы являются вредоносными (дубликаты были предварительно удалены) и уже детектируются:

100793063427146.exe.xBAD Trojan.Win32.Chapak.yug
121531597917999.exe.xBAD Trojan.Win32.IRCbot.bhnc
1466040313.exe.xBAD Trojan.Win32.Cutwail.wzg
179214224737758.exe.xBAD HEUR:Trojan.Win32.Generi
180281961533341.exe.xBAD Trojan.Win32.Zonidel.daa
185633905720409.exe.xBAD Trojan.Win32.Zonidel.cxr
198562538127864.exe.xBAD HEUR:Trojan.Win32.Generic
220613344213189.exe.xBAD Trojan.Win32.Zonidel.cyy
241111512722693.exe.xBAD Trojan.Win32.Chapak.vgi
293543319941914.exe.xBAD Trojan.Win32.Cutwail.wzm
311563554521082.exe.xBAD Trojan.Win32.IRCbot.bhik
326691292631098.exe.xBAD Trojan.Win32.IRCbot.bhlw
340943687126000.exe.xBAD Trojan-PSW.Win32.Tepfer.gen
365203369012406.exe.xBAD Trojan.Win32.IRCbot.bhhy

 

 

[DarkExspiravit]

Спасибо!

Ещё вопрос: Есть возможность что позже через некоторое время возможно будет расшифровать если оставить зашифрованные файлы а ОС переустановить ?

[mike 1]

Если и появится, то не на форуме. ОС я бы не переустанавливал, либо сделал снимок текущего состояния ОС, например Акронисом. 

[DarkExspiravit]

Сохранил образ Acronis.

Также удалось восстановить часть фото с помощью GetDataBack. Ещё восстановил письмо вымогателей.

 

Прикрепил его к теме, может пригодится.

RESTORE-SIGRUN.html

RESTORE-SIGRUN.txt

[thyrex]

Строгое предупреждение от модератора thyrex

Тема почищена