Мы тоже поймали шифровщик .bomber лог прилагаю

[sih]

Добрый день. поймали шифровщик. зашифровал все файлы на машине.

симптомов никаких не было, почту пользователь проверить не успел, открыл 1 документ ворд после этого произошла активация вируса. (возможно запустился по расписанию)

 

лог прилагаю 

 

 

CollectionLog-2018.06.19-10.06.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[sih]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

 

 

 

 

 

прилагаю файлы

FRST.txt

Addition.txt

[thyrex]

ATTENTION: The user is not administrator

 

Переделать сбор логов, дав учетной записи права администратора

[sih]

Готово. под админскими правами

Addition.txt

FRST.txt

[thyrex]

У Вас очередная версия Scarab. С расшифровкой помочь не сможем. Будет только зачистка мусора.

 

C:\Program Files\FusionInventory-Agent\fusioninventory-agent.bat - это файл, который запускается через Планировщик заданий Вам известен?

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {0335C55F-3E37-413B-9CF5-27DFF41B845A} - \KMSAuto -> No File <==== ATTENTION
2018-06-19 08:09 - 2018-06-19 08:09 - 000002450 _____ C:\Users\Public\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
2018-06-19 08:09 - 2018-06-19 08:09 - 000002450 _____ C:\Users\chueva\Downloads\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
2018-06-19 08:02 - 2018-06-19 08:10 - 000002450 _____ C:\Users\chueva\Desktop\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[sih]

да. C:\Program Files\FusionInventory-Agent\fusioninventory-agent.bat  нам известен.

это инвентаризация.

 

а вот с рашифровкой огорчили.

платить 300 уе вымогателям? 

есть шанс что со временем будет возможна расшифровка

[thyrex]

Об этом могут знать только в вирлабе. Помощников на форуме об этом не информируют.

 

Пострадала только эта машина?

[sih]

Fixlog.txt

да. пострадала только одна машина. надеемся.

Fixlog.txt

Изменено 19 июня, 2018 пользователем sih

[sih]

что же нам делать. посоветуйте что-нибудь

[thyrex]

Какого совета Вы ждете? Про невозможность расшифровки я написал.

 

Кстати, судя по одной из тем с этим шифратором, заражение произошло после открытия документа Word (или чего-то маскирующегося под документ Word) из почты. "Пытайте" сотрудницу, проводите ликбез по основам информационной безопасности.

[thyrex]

Дату и время появления папки C:\Users\chueva\AppData\Roaming\Microsoft\7-Zip сообщите, пожалуйста.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-1957994488-1767777339-839522115-7165\...\Run: [7-ZipPortable] => C:\Users\chueva\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe [154032 2010-11-23] (PortableApps.com)
C:\Users\chueva\AppData\Roaming\Microsoft\7-Zip
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[thyrex]

FusionInventory-Agent случайно не обновляли в последнее время?