Перейти к содержанию

Шифровальщик Bomber


Рекомендуемые сообщения

Добрый день!
Наша организация поймала вирус-шифровальщик, предположительно ночью.
Файлы теперь зашифрованы.
Возможно ли восстановить информацию?

CollectionLog-2018.06.19-09.27.zip

КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT

Ссылка на комментарий
Поделиться на другие сайты

 

 


Возможно ли восстановить информацию?

Пока нет.

 

Браузер Amigo сами устанавливали?

 

 
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\System32\config\systemprofile\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT', '');
 DeleteFile('C:\Windows\System32\config\systemprofile\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT', '32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','OYTfqa');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','OYTfqa');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
 
 
Компьютер перезагрузится
 
После перезагрузки, выполните такой скрипт:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com
 
Полученный ответ сообщите здесь (с указанием номера KLAN)

Попробуйте вытянуть информацию ShadowExplorer

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\1\AppData\Local\OneClick\OneClickApp.32.exe', '');
 QuarantineFile('C:\Windows\system32\drivers\IPLIR.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\itcswd.sys', '');
 QuarantineFile('C:\Windows\system32\olvpavd.dll', '');
 QuarantineFileF('C:\Users\1\AppData\Local\OneClick\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\1\AppData\Local\OneClick\OneClickApp.32.exe');
 DeleteFile('C:\Windows\system32\olvpavd.dll', '32');
 DeleteFileMask('C:\Users\1\AppData\Local\OneClick\', '*', true);
 DeleteDirectory('C:\Users\1\AppData\Local\OneClick\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Aloasek\Parameters', 'ServiceDll');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 
 
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - HKCU\..\Policies\Explorer\Run: [FTgwAyidgNSITsZdOPMRuKstpB] = C:\Windows\system32\zKqoIyvTTVVo_L.exe  (file missing)
O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Active Desktop Calendar.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing)
O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Dr.Web Scanner.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing)
O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^FineReader 10.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing)
O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Makhaon MKB10.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing)
O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Microsoft Office Document Imaging.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing)
O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^The Bat! E-Mail Client.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing)
O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Windows Fax and Scan.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing)
O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Yandex.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing)
O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Адреса.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing)
O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^БЛАНКИ ОРГАНИЗАЦИИ.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing)
O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Входящие документы - Ярлык.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing)
O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^ДСП Входящие.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing)
O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^ДСП Исходящие.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing)
O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Костомукша - Ярлык.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing)
O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Лист ознакомления - Ярлык.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing)
O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^МЗ приказы - Ярлык.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing)
O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^МЗ телефоны  на 25 06 2015 - Ярлык.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing)
O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Мои документы - Ярлык.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing)
O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Обращения граждан - Ярлык.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing)
O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Приказы по оплате, отпускам - Ярлык.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing)
O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Приказы по основной деятельности - Ярлык.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing)
O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Распоряжения - Ярлык.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing)
O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^письмо Хидишяну бланк - Ярлык (2).lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing)
O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^по гриппу - Ярлык.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing)
O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^санзадание 814 2 76 44 77.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing)
O4 - MSConfig\startupfolder: C:^Users^1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^сетевая папка.lnk [backup] => C:\Windows\System32\zKqoIyvTTVVo_L.exe (2015/12/10) (file missing)
O4 - MSConfig\startupreg: Client Server Runtime Subsystem [command] = C:\ProgramData\Windows\csrss.exe  (file missing) (HKLM) (2017/05/02)
O4 - MSConfig\startupreg: Green Christmas Tree [command] = C:\Users\1\AppData\Local\Temp\Rar$EXa0.556\GreenChristmasTree_01_0.exe  (file missing) (HKCU) (2014/11/24)
O4 - MSConfig\startupreg: Praetorian [command] = C:\Users\1\AppData\Local\Yandex\Updater\praetorian.exe  (file missing) (HKCU) (2016/07/15)
O4 - MSConfig\startupreg: amigo [command] = C:\Users\1\AppData\Local\Amigo\Application\amigo.exe --no-startup-window (file missing) (HKCU) (2018/05/28)
O20 - HKLM\..\Winlogon\Notify: itcwlnp [DllName] = iO22 - Task: Обновление Браузера Яндекс - C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --background-update (file missing)
O23 - Service S2: Service Installer TrueKey - (InstallerService) - C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe (file missing) Files\TrueKey\Mcafee.TrueKey.InstallerService.exe -runtimeupdated

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

 

Возможно ли восстановить информацию?

Пока нет.

 

Браузер Amigo сами устанавливали?

 

 
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\System32\config\systemprofile\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT', '');
 DeleteFile('C:\Windows\System32\config\systemprofile\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT', '32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','OYTfqa');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','OYTfqa');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
 
 
Компьютер перезагрузится
 
После перезагрузки, выполните такой скрипт:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com
 
Полученный ответ сообщите здесь (с указанием номера KLAN)

Попробуйте вытянуть информацию ShadowExplorer

 

Пользователь не должен был пользоваться Amigo.

 

KLAN-8257411988

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Ссылка на комментарий
Поделиться на другие сайты

@Kostamus, жду всего остального. И по рассшифровке у вас шансов нет, только зачистка вирусов. Там два разных шифратора поработало и ни по одному нет рассшировки.

Ссылка на комментарий
Поделиться на другие сайты

 

https://virusinfo.info/virusdetector/report.php?md5=341ED5A86E0FFAEB85D85DA252328A84

https://virusinfo.info/showthread.php?t=219389

из за  "Ошибка Размер файла превышает допустимый для загрузки размер"

прикрепил на яндекс-диске

 

ClearLNK-2018.06.20_10.02.09.log

ClearLNK-2018.06.20_10.32.57.log

HiJackThis.log

CollectionLog-2018.06.20-10.37.zip

Изменено пользователем regist
убрал излишнее цитирование и карантин
Ссылка на комментарий
Поделиться на другие сайты

Не надо заниматься оверквотином. Это только затрудняет чтение и как следствие помощь вам. Для быстрого ответа есть поле внизу.

Карантин прикреплять также запрещено. По логам чуть позже отвечу.


1)

McAfee Security Scan Plus [2017/03/29 08:39:36]-->"C:\Program Files\McAfee Security Scan\uninstall.exe"

советую деинсталировать.

 

2) "Пофиксите" в HijackThis:

O4 - HKCU\..\Policies\Explorer\Run: [FTgwAyidgNSITsZdOPMRuKstpB] = C:\Windows\system32\zKqoIyvTTVVo_L.exe  (file missing)
O4 - MSConfig\startupreg: Client Server Runtime Subsystem [command] = C:\ProgramData\Windows\csrss.exe  (file missing) (HKLM) (2017/05/02)
O4 - MSConfig\startupreg: Green Christmas Tree [command] = C:\Users\1\AppData\Local\Temp\Rar$EXa0.556\GreenChristmasTree_01_0.exe  (file missing) (HKCU) (2014/11/24)
O4 - MSConfig\startupreg: Praetorian [command] = C:\Users\1\AppData\Local\Yandex\Updater\praetorian.exe  (file missing) (HKCU) (2016/07/15)
O4 - MSConfig\startupreg: amigo [command] = C:\Users\1\AppData\Local\Amigo\Application\amigo.exe --no-startup-window (file missing) (HKCU) (2018/05/28)
O22 - Task: Обновление Браузера Яндекс - C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --background-update (file missing)
O23 - Service S2: Service Installer TrueKey - (InstallerService) - C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe (file missing) Files\TrueKey\Mcafee.TrueKey.InstallerService.exe -runtimeupdated

 

3)

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • Aleksandr63
      От Aleksandr63
      Здравствуйте! зашифровало всё
      Новая папка.7z FRST.txt
    • Irina4832
      От Irina4832
      Помогите! Все файлы зашифровали, онлай определители типа шифровщика его не находят
      qbpBqR1L6.README.txt
    • kokc1979
      От kokc1979
      Подхватил заразу. Вчера всё работало. Сегодня вечером обнаружилась проблема с шифровалкой. Ни какое ПО в этот промежуток ремени не устанавливалось. Ни чего не скачивалось.
      Log.rar 3File.rar
    • Saul
      От Saul
      Добрый день!
      Вот такое поймали, зашифрованы все файлы на сетевой шаре.
      Есть способы для расшифровки?
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://tox.chat/clients.html
      https://github.com/uTox/uTox/releases/
      https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
      и добавьте нас
       
      2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
      1.zip
×
×
  • Создать...