Шифровальщик .BOMBER

[vvvverrrra]

Приветствую Вас.

Аналогично с последними 6 ТСами столкнулся с такой проблемой:

ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!

 

Ваш личный идентификатор

6A0200000000000032AF49EB1592890DC0300C0257F203C6DE7FB190AAAAAAC60F1C8D5EE8EAF23211C7CEDD6D75C6F2DFA3

3CB8642E551D2C113998BA6D175E4FEE949F1779C24570AE59E5AE266B23AE2A1B6CB11B1EE8A138AA3B02B8CAF590E1AFCD

664A5171DAF0B10E75F292A0A785905B7B8C062C900D2F3956ECF44E8CBF280B5C056FE84E0C2CAC37D5DB79136BA710EF7C

90EEF07BFBBC9ADB35E939611F3CCF446551992980617D1DDB83B514F09642458C4FC68B167331A98CCA8895EA2B6B8AA663

C08B3692EE1C0266EB156DA556C6FADC8CC5638CA68DCA2B604935FBCD9A7D6ECC2A27937D1C7DAA9673702837CBA54B734C

D111C1DD36765BE89B91B382095A4FAB58CC92AF9972D016265BB047378E63FEF90F5823C161ECFD18BD75B46B1E76679338

371182BCCC10ACD0FF822D59BE7F0373B5A74E7B759923D46A2B1E

 

Ну и далее инструкция по донату биткоинов в сторону хакеров.

CollectionLog-2018.06.19-15.04.zip

[akoK]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

 then

  begin

  SearchRootkit(true, true);

  SetAVZGuardStatus(True);

  end;

 QuarantineFile('C:\PROGRA~3\VKSaver\vksaver3.dll','');

 QuarantineFile('C:\Users\1\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT','');

 QuarantineFile('C:\Users\1\AppData\Local\Temp\UeIqC\tv.dll','');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','OYTfqa');

   BC_Activate;

  ExecuteSysClean;

  ExecuteWizard('SCU', 2, 3, true);

 BC_ImportALL;

RebootWindows(true);

end.

 

Компьютер перезагрузится. 

 

После перезагрузки, выполните такой скрипт:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[vvvverrrra]

KLAN-8253506357

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
vksaver3.dll
КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
tv.dll

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

KLAN-8253506357

Отчеты

Addition.txt

FRST.txt

Shortcut.txt

[akoK]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  Folder: C:\Users\1\AppData\Local\Temp\UeIqC
  HKU\S-1-5-21-2485347691-3814276082-1032050003-1000\...\MountPoints2: {1b1563a0-4683-11e7-8109-001e8c9f6bd1} - E:\Autoinstaller.exe
  HKU\S-1-5-21-2485347691-3814276082-1032050003-1000\...\MountPoints2: {270821d2-5fab-11e7-b37f-001e8c9f6bd1} - E:\Autoinstaller.exe
  HKU\S-1-5-21-2485347691-3814276082-1032050003-1000\...\MountPoints2: {f7ca6e92-0e1e-11e7-810c-001e8c9f6bd1} - F:\Autoinstaller.exe
  ShortcutTarget: HQ-Realtek АС 3.9.4.738.lnk -> C:\Users\1\AppData\Local\Temp\UeIqC\TeamViewer.exe (No File)
  2018-06-19 08:19 - 2018-06-19 08:19 - 000002454 _____ C:\Users\1\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
  2018-06-19 08:18 - 2018-06-19 08:18 - 000002454 _____ C:\Users\admin\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
  2018-06-19 08:18 - 2018-06-19 08:18 - 000002454 _____ C:\Users\123\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
  2018-06-19 08:13 - 2018-06-19 08:15 - 000002454 _____ C:\Users\1\Downloads\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
  2018-06-19 08:13 - 2018-06-19 08:13 - 000002454 _____ C:\Users\1\Documents\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
  2018-06-19 07:59 - 2018-06-19 08:19 - 000002454 _____ C:\Users\1\Desktop\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
  Reboot:
  End::

   
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

А по поводу зашифрованных файлов, попробуйте эту инструкцию.

@vvvverrrra, перешлите карантин на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) 

[vvvverrrra]

Не удается выполнить код. Ошибка: "BEGIN" expected в позиции 1:1

[mike 1]

 

 

Запустите FRST (FRST64) от имени администратора.

[vvvverrrra]

Отчет

Fixlog.txt

[Sandor]

Если Восстановление системы было включено ДО заражения, пробуйте восстановить файлы средствами Windows.

Дублирующая ссылка: http://www.cyberforum.ru/viruses-faq/thread1440382.html

[mike 1]

 

 

Если Восстановление системы было включено ДО заражения, пробуйте восстановить файлы средствами Windows.

Шифровальщик потер все точки восстановления. Это видно по логам.  

[vvvverrrra]

Есть возможность дешифровать файлы? имеется файл в оригинальном и зашифрованном варианте.

[Sandor]

Есть возможность дешифровать файлы?

Нашими силами, к сожалению, нет.

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.