Зашифрованы файлы (Trojan-Ransom.Win32.Cryptor.bsd)

[forent]

Здравствуйте,

Сегодня ночью поймал вирус Trojan-Ransom.Win32.Cryptor.bsd (на Windows 7). Название определил при проверке вирусного файла на www.virustotal.com (Kaspersky). [/size]Заражение скорее всего произошло по RDP.

Вирус создал в каждой папке на всех дисках файл !!!RESTORE_FILES!!!.txt (прикрепил). И начал шифровать...

Я в это время работал по удаленному подключению, заметил торможение, запустил диспетчер задач в котором обнаружил fgggj.exe (прикрепил архив с вирусом, сохранил оригинальное название архива endddddd546666.zip). Я завершил этот процесс, затем в папке "Загрузки" обнаружил архив с вирусом. Повезло. Вирус проработал около получаса. Потерял только 3 папки с важными файлами (были зашифрованы). Шифрует добавляя в конец имени файла "CONTACTUS" (один из зашифрованных файлов прикрепил file_xls.zip).

Прошу помочь в расшифровке, если это еще возможно.

!!!RESTORE_FILES!!!.txt

file_xls.zip

Изменено 7 июня, 2018 пользователем Sandor
Убрал вирус

[Sandor]

Здравствуйте!

 

Порядок оформления запроса о помощи

 

Образцы зашифрованных документов упакуйте в архив и тоже прикрепите к следующему сообщению.

[forent]

Образец зашфрованного документа прикрепил в предыдущем измененном сообщении.

[Sandor]

прикрепил архив с вирусом

Не нужно! Выполняйте правила.

[forent]

Kaspersky Virus Removal Tool 2015 вирусов не обнаружил. Файл с собранными логами прикрепил.

CollectionLog-2018.06.07-17.50.zip

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[forent]

Прикрепил.

FRST_Addition.zip

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  2018-06-04 15:44 - 2018-06-07 09:49 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignf134b00298491d3b
  2018-06-04 15:44 - 2018-06-07 09:49 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign13518d5921534b50
  2018-06-04 15:05 - 2018-06-07 09:49 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignb4be395686fd3ddc
  2018-06-04 15:05 - 2018-06-07 09:49 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsigna958c9054446cb11
  2018-06-04 13:25 - 2018-06-07 09:49 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignb3b519c04a3cbfee
  2018-06-04 13:25 - 2018-06-07 09:49 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign5b22a4cf30b82150
  2018-06-01 17:28 - 2018-06-07 09:49 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignc3579fa212baf098
  2018-06-01 17:28 - 2018-06-07 09:49 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign39d39915eccdbf53
  2018-06-01 16:08 - 2018-06-07 09:49 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign745e59da9ebfcc7d
  2018-06-01 16:08 - 2018-06-07 09:49 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign14500aa781b846a2
  2018-05-25 17:33 - 2018-06-07 09:49 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign606d9121e85e6656
  2018-05-25 17:33 - 2018-06-07 09:49 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign16abde8355214a6e
  2018-06-07 09:49 - 2018-05-04 16:35 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignd1a06978bc515f29
  2018-06-07 09:49 - 2018-05-04 16:35 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign975f59740a13ccda
  2018-06-07 09:49 - 2018-04-25 18:01 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignd7c89b51f0b78bb5
  2018-06-07 09:49 - 2018-04-25 18:01 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign77f7864661ef0307
  2018-06-07 09:49 - 2018-04-19 16:32 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign5bbbbbc2e9f7d6cd
  2018-06-07 09:49 - 2018-04-19 16:32 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign52f5dfc0a1df8660
  2018-06-07 09:49 - 2018-04-17 13:01 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignaa28c4f4d8d6f839
  2018-06-07 09:49 - 2018-04-17 13:01 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign4dd4b517dbce9f5f
  2018-06-07 09:49 - 2018-04-16 12:59 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign4aac9c9bf6ea495b
  2018-06-07 09:49 - 2018-04-16 12:59 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign2d8df360508d1e1e
  2018-06-07 09:49 - 2018-04-11 17:06 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignc57461cfc159bb90
  2018-06-07 09:49 - 2018-04-11 17:06 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign53a48dd891d1fd6d
  2018-06-07 09:49 - 2018-04-10 13:33 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign8230ceaec5ffe910
  2018-06-07 09:49 - 2018-04-10 13:33 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign31fa746978952f7c
  2018-06-07 09:49 - 2018-04-05 16:47 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignc47e21e6b08a10d1
  2018-06-07 09:49 - 2018-04-05 16:47 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign859988fb7a9b3225
  2018-06-07 09:49 - 2018-02-06 14:11 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign9eea481384ad1c96
  2018-06-07 09:49 - 2018-02-06 14:11 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign35b4287178b2c763
  2018-06-07 09:49 - 2017-11-05 23:48 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignf113292d57720ec7
  2018-06-07 09:49 - 2017-11-05 23:48 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignee3b8299881c30ef
  2018-06-07 09:49 - 2017-10-26 03:24 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignfc42882b28dd3caf
  2018-06-07 09:49 - 2017-10-26 03:24 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign516370ac1b462d23
  2018-06-07 09:49 - 2017-10-22 23:38 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsigneef5cfc8133c53b6
  2018-06-07 09:49 - 2017-10-22 23:38 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignad22b75b9a70a4e4
  2018-06-07 09:49 - 2017-10-03 15:19 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsigna71436d94e1bf5f4
  2018-06-07 09:49 - 2017-10-03 15:19 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign98c24a236f68993c
  2018-06-07 09:49 - 2017-09-27 18:04 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignd7b817f70f6e974a
  2018-06-07 09:49 - 2017-09-27 18:04 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign761f4cc3f7ea5575
  2018-06-07 09:49 - 2017-09-26 19:54 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign91a9cc3908b8d101
  2018-06-07 09:49 - 2017-09-26 19:54 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign261aa9fe12e60f25
  2018-06-07 09:49 - 2017-08-26 17:00 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignf19f9dce69c6bf13
  2018-06-07 09:49 - 2017-08-26 17:00 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign3e3ea1fada52da94
  2018-06-07 09:49 - 2017-08-19 15:10 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign84141480ab18c4c5
  2018-06-07 09:49 - 2017-08-19 15:10 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign27e94716d24a00bb
  2018-06-07 09:49 - 2017-08-19 12:02 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignb57f73684541c2a5
  2018-06-07 09:49 - 2017-08-19 12:01 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignf218ede5f60ea71f
  2018-06-07 09:49 - 2017-08-11 00:37 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsigna73c2542d8ff5bef
  2018-06-07 09:49 - 2017-08-11 00:37 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign8f922e09743661da
  2018-06-07 09:49 - 2017-08-11 00:34 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignef327e90fa4c1ded
  2018-06-07 09:49 - 2017-08-11 00:34 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign2bb5565d98544a87
  2018-06-07 09:49 - 2017-08-11 00:05 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignde5a0faabdd59218
  2018-06-07 09:49 - 2017-08-11 00:05 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign65f16322dd238ef4
  2018-06-07 09:49 - 2017-08-09 21:47 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign79a8ff0a79514c50
  2018-06-07 09:49 - 2017-08-09 21:47 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign635c9e508d2c6b69
  2018-06-07 09:49 - 2017-08-09 21:28 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign4dc97ddf2450a12a
  2018-06-07 09:49 - 2017-08-09 21:23 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignacc2b0c4ae0d5ea0
  2018-06-07 09:49 - 2017-08-09 21:23 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign2531f6ca3c67a11b
  2018-06-07 09:49 - 2017-08-04 18:26 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsignb4f83230ee54533d
  2018-06-07 09:49 - 2017-08-04 18:26 - 000000000 ____D C:\Users\SERGEY\AppData\Local\Tempzxpsign8f1ffff114c1663f
  bl (HKLM\...\{2A075BB4-E976-4278-BF3F-E5C6945D84C0}) (Version: 1.0.0 - Your Company Name) Hidden
  ph (HKLM\...\{185F9795-9663-4F13-9EF9-307A282ADB5A}) (Version: 1.0.0 - Your Company Name) Hidden
  AlternateDataStreams: C:\Users\SERGEY:id [32]
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

В перечне установленных программ появятся

bl

ph

Деинсталлируйте их.

[forent]

Если я правильно понял, то код нужно просто скопировать и никуда не вставлять. Сделал. Прикрепил.

Fixlog.txt

[Sandor]

Вы поняли правильно.

 

Ничего не обещаю, но для выяснения кое-каких нюансов нужно время. Так что подождите.