Шифровальщик bomber

19 июня, 2018

Доброго дня, товарищи!
Вижу не я один тут такой. Помогите пожалуйста!

ситуация стандартная - утром включились и увидели.

Что сделано:

1) KART запущен и просканировано всё (включая системный раздел).

было найдено (пока остаётся в карантине):

D:\Users\Таня\AppData\Roaming\qdpisih.dll

D:\Users\Таня\AppData\Roaming\SysplanNT\msimg32.dll

2) запущен автоматический сборщик логов и отработал сценарий (хотя он обещал перезагрузку... а ё не было. Но я не пропускал 1 этап). Прикрепил.

3) запущен FRST. Файлы от него прикрепил.

CollectionLog-2018.06.19-15.46.zip

FRST.txt

Addition.txt

19 июня, 2018

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('d:\users\Таня\appdata\roaming\int\regsvr.exe');
 QuarantineFile('D:\Users\Таня\AppData\Roaming\INT\MSVFW32.dll', '');
 QuarantineFile('d:\users\Таня\appdata\roaming\int\regsvr.exe', '');
 QuarantineFile('D:\Users\Таня\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HQ-Realtek АС 3.9.4.738.lnk', '');
 QuarantineFile('D:\Users\Таня\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Update Manager.lnk', '');
 QuarantineFile('D:\Users\Таня\AppData\Roaming\qdpisih.dll', '');
 QuarantineFile('D:\Users\Таня\AppData\Roaming\SysplanNT\MSIMG32.dll', '');
 QuarantineFile('D:\Users\Таня\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT', '');
 QuarantineFileF('d:\users\Таня\appdata\roaming\int\', '*', true, '', 0, 0);
 QuarantineFileF('D:\Users\Таня\AppData\Roaming\SysplanNT\', '*', true, '', 0, 0);
 DeleteFile('D:\Users\Таня\AppData\Roaming\INT\MSVFW32.dll', '32');
 DeleteFile('d:\users\Таня\appdata\roaming\int\regsvr.exe', '32');
 DeleteFile('D:\Users\Таня\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HQ-Realtek АС 3.9.4.738.lnk');
 DeleteFile('D:\Users\Таня\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Update Manager.lnk');
 DeleteFile('d:\users\таня\appdata\roaming\qdpisih.dll', '');
 DeleteFile('d:\users\таня\appdata\roaming\qdpisih.dll', '32');
 DeleteFile('D:\Users\Таня\AppData\Roaming\qdpisih.dll', '64');
 DeleteFile('D:\Users\Таня\AppData\Roaming\SysplanNT\msimg32.dll', '32');
 DeleteFile('D:\Users\Таня\AppData\Roaming\SysplanNT\msimg32.dll', '64');
 DeleteFile('D:\Users\Таня\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT', '32');
 DeleteFile('D:\Users\Таня\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'OYTfqa');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'update_w32.exe');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'URaog');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Файл quarantine.zip из папки AVZ пришлите на почту , укажите в письме ссылку на тему, в которой просили прислать файлы.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

отработал сценарий (хотя он обещал перезагрузку... а ё не было. Но я не пропускал 1 этап).

на вашей системе не должно быть перезагрузки. Странно, что он её обещал. При сборе свежих логов можете сделать скрин окна, где он про это говорит?

Изменено 19 июня, 2018 пользователем regist

19 июня, 2018

1. Ссылка от VirusInfo: https://virusinfo.info/virusdetector/report.php?md5=B7A4F7C9A14FBFB2DDC882852540F6D1

2. Письмо отправил.

3. Логи прилагаю:

CollectionLog-2018.06.19-16.51.zip

PS:

После запуска он сообщает, что будет два этапа и второй включается в себя перезагрузку... в общем вот скриншот.

это не то, что бы прям диалоговое окно... возможно просто информационно. Но я решил упомянуть об этом.

PS2: подгрузил на всякий случай логи от FRST

Addition-1.txt

FRST-1.txt

Изменено 19 июня, 2018 пользователем bravo-ej

19 июня, 2018

После запуска он сообщает, что будет два этапа и второй включается в себя перезагрузку... в общем вот скриншот.

вторая строчка на скрине, написанное в скобках прочтите

.

Письмо отправил.

увы, не дошло. Просьба закачайте архив на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) ссылку на скачивание пришлите мне в ЛС.

19 июня, 2018

Отправилено

19 июня, 2018

AMMYY Admin ваше?

и

HKU\S-1-5-21-2939633801-2705330331-3998745655-1001\...\Run: [7-ZipPortable] => D:\Users\Таня\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe [154032 2010-11-23] (PortableApps.com)

вам знаком?

А так вам злодеи проинсталировали тим вьювер, через него залезли и всё сделали.

19 июня, 2018

Да, было дело пользовались. + от какого то спец софта (по теме бизнеса) он тоже используется.

19 июня, 2018

Про 7-ZipPortable не понял, ваше? И просьба не путать с

C:\Program Files\7-Zip\

который у вас также стоит.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-2939633801-2705330331-3998745655-1001\...\Run: [update_w32.exe] => C:\Windows\system32\regsvr32.exe /s scrrun.dll "D:\Users\Таня\AppData\Roaming\SysplanNT\msimg32.dll" htvrh666 "D:\Users\Таня\AppData\Roaming\SysplanNT\update_w32.exe" r <==== ATTENTION
HKU\S-1-5-21-2939633801-2705330331-3998745655-1001\...\Run: [OYTfqa] => D:\Users\Таня\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT [2444 2018-06-19] ()
HKU\S-1-5-21-2939633801-2705330331-3998745655-1001\...\MountPoints2: F - F:\AutoRun.exe
HKU\S-1-5-21-2939633801-2705330331-3998745655-1001\...\MountPoints2: G - G:\AutoRun.exe
HKU\S-1-5-21-2939633801-2705330331-3998745655-1001\...\MountPoints2: {20458ee1-f097-11e3-a538-000c29184fd2} - G:\SETUP.EXE
HKU\S-1-5-21-2939633801-2705330331-3998745655-1001\...\MountPoints2: {92a6e210-f07c-11e3-bf5b-806e6f6e6963} - F:\setup.exe
HKU\S-1-5-21-2939633801-2705330331-3998745655-1001\...\MountPoints2: {b44d0f86-7e3c-11e4-a124-14dae9bdca5d} - F:\AutoRun.exe
HKU\S-1-5-21-2939633801-2705330331-3998745655-1001\...\MountPoints2: {b44d0f97-7e3c-11e4-a124-14dae9bdca5d} - F:\AutoRun.exe
HKU\S-1-5-21-2939633801-2705330331-3998745655-1002\...\MountPoints2: {20458ee1-f097-11e3-a538-000c29184fd2} - G:\SETUP.EXE
HKU\S-1-5-21-2939633801-2705330331-3998745655-1002\...\MountPoints2: {92a6e210-f07c-11e3-bf5b-806e6f6e6963} - F:\setup.exe
GroupPolicyScripts: Restriction <==== ATTENTION
GroupPolicyScripts\User: Restriction <==== ATTENTION
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

19 июня, 2018

да, прошу прлщения, про портабл версию ничего не знаю и деоать ей там нечего виобщем то...

тимвьюер- это мой.

Fixlog.txt

19 июня, 2018

Проверьте теневые копии.

19 июня, 2018

"Пофиксите" в HijackThis:

O4 - HKCU\..\Run: [7-ZipPortable] = D:\Users\Таня\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

Проверьте теневые копии.

можно и не проверять. Их нет, так что больше помочь нечем.

Изменено 19 июня, 2018 пользователем regist

19 июня, 2018

Понял... в плане возможности расшифровать это дело ... практики такой нет, что спустя неделю удаётся? Или всё, хоронить и поминки организовывать... правда не знаю, по бухгалтеру или только по файлам :-/

Спасибо за участие!

Изменено 19 июня, 2018 пользователем bravo-ej

19 июня, 2018

практики такой нет, что спустя неделю удаётся?

спустя неделю врядли, а так в будущем может и появится рассшифровка. Иногда по разным причинам появляется (находят автора трояна и получают ключи, находят дыру в реализации шифратора, либо сам автор бывает сливает ключи в паблик). Так что советую

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Шифровальщик bomber

Рекомендуемые сообщения

bravo-ej

regist

bravo-ej

regist

bravo-ej

regist

bravo-ej

regist

bravo-ej

akoK

regist

bravo-ej

regist

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum