Шифровальщик .Bomber

[infiniti-87]

Добрый день

Сегодня на 2 ПК в сети были зашифрованы файлы, расширение сменилось на .bomber. Помогите расшифровать обратно. логи прилагаю

Так же прилагаю 2 зашифрованных файла

CollectionLog-2018.06.19-17.30.zip

зашифрованные файлы.zip

[akoK]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\system32\psxss.exe','');
 QuarantineFile('C:\Users\ttp\AppData\Roaming\kwdowpi.dll','');
 DeleteFile('C:\Users\ttp\AppData\Roaming\kwdowpi.dll','64');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

 

Компьютер перезагрузится. 

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - HKCU\..\Run: [YndiLzgoa] = C:\Windows\system32\rundll32.exe "C:\Users\ttp\AppData\Roaming\kwdowpi.dll",SVCServiceMain YndiLzgoa NSER

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Прикрепите к следующему сообщению свежий CollectionLog.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[infiniti-87]

KLAN-8253028316

 

еще лог Collection

FRST.txt

Addition.txt

Shortcut.txt

CollectionLog-2018.06.19-18.11.zip

[akoK]

 

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
VirusTotal:C:\1uik_gpbdealing\winros.exe;
2018-06-19 09:16 - 2018-06-19 09:19 - 000002450 _____ C:\Users\ttp\Downloads\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
2018-06-19 09:16 - 2018-06-19 09:19 - 000002450 _____ C:\Users\ttp\Documents\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
2018-06-19 09:16 - 2018-06-19 09:19 - 000002450 _____ C:\Users\ttp\Desktop\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
EmptyTemp:
Reboot:
End::

 

Скопируйте выделенный текст (правой кнопкой - Копировать).

Запустите FRST (FRST64) от имени администратора.

Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Изменено 19 июня, 2018 пользователем akoK

[infiniti-87]

fixlog

Fixlog.txt

[akoK]

С расшифровкой, увы помочь не сможем. 

 

Подготовьте лог лог SecurityCheck by glax24

Попробуйте использовать ShadowExplorer

[Sandor]

@infiniti-87, если Восстановление системы было включено ДО заражения, пробуйте восстановить файлы средствами Windows.

Это не значит, что нужно откатывать всю систему, только файлы.