Шифровальщик .bomber

19 июня, 2018

Откуда взялся затрудняюсь сказать

CollectionLog-2018.06.19-16.59.zip

КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT

19 июня, 2018

ROM Server - ваше?

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\hpfeliki\mjajlclk.kbg', '');
 QuarantineFile('C:\Users\Sa\AppData\Roaming\payload.exe', '');
 QuarantineFile('C:\Users\vasilkova\AppData\Roaming\ANSII32\genid.exe', '');
 QuarantineFile('C:\Users\vasilkova\AppData\Roaming\hqxomzv.dll', '');
 QuarantineFile('C:\Users\vasilkova\AppData\Roaming\mcrserver.exe', '');
 QuarantineFile('C:\Users\vasilkova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Update Manager.lnk', '');
 QuarantineFile('C:\Users\vasilkova\AppData\Roaming\MSN32\genid.exe', '');
 QuarantineFile('C:\Users\vasilkova\AppData\Roaming\SysplanNT\msimg32.dll', '');
 QuarantineFile('C:\Windows\kmsem\kmservice.exe', '');
 QuarantineFileF('C:\Users\vasilkova\AppData\Roaming\SysplanNT\', '*', true, '', 0, 0);
 DeleteFile('C:\Users\Sa\AppData\Roaming\payload.exe', '32');
 DeleteFile('C:\Users\Sa\AppData\Roaming\payload.exe', '64');
 DeleteFile('C:\Users\vasilkova\AppData\Roaming\hqxomzv.dll', '64');
 DeleteFile('C:\Users\vasilkova\AppData\Roaming\mcrserver.exe', '32');
 DeleteFile('C:\Users\vasilkova\AppData\Roaming\mcrserver.exe', '64');
 DeleteFile('C:\Users\vasilkova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Update Manager.lnk');
 DeleteFile('C:\Users\vasilkova\AppData\Roaming\SysplanNT\msimg32.dll', '32');
 DeleteFile('C:\Users\vasilkova\AppData\Roaming\SysplanNT\msimg32.dll', '64');
 DeleteFileMask('C:\Users\vasilkova\AppData\Roaming\SysplanNT\', '*', true);
 DeleteDirectory('C:\Users\vasilkova\AppData\Roaming\SysplanNT\');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2850089378-1942583201-4186908868-1324\Software\Microsoft\Windows\CurrentVersion\Run', 'Eokeudzacl');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2850089378-1942583201-4186908868-1324\Software\Microsoft\Windows\CurrentVersion\Run', 'System Bust');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2850089378-1942583201-4186908868-1324\Software\Microsoft\Windows\CurrentVersion\Run', 'update_w32.exe');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2850089378-1942583201-4186908868-1324\Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Security Server');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

19 июня, 2018

KLAN-8253507389

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:

mjajlclk.kbg - Trojan-Banker.Win32.RTM.vi hqxomzv.dll - Trojan.Win32.Banpak.iu mcrserver.exe - HEUR:Trojan-Spy.Win32.Generic genid_0.exe - Backdoor.NSIS.RMS.b msimg32.dll - Trojan.Win32.Zapchast.ajvz

В антивирусных базах информация по присланным вами файлам отсутствует:

genid.exe

Windows Update Manager.lnk

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:

kmservice.exe - not-a-virus:RiskTool.Win32.HackKMS.c

Перечисленные файлы имеют безопасный формат и не могут быть вредоносными:

image001.png

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia

Телефон/Факс: + 7 (495) 797 8700

http://www.kaspersky.com https://www.securelist.com"

--------------------------------------------------------------------------------

Sent: 6/19/2018 6:13:00 PM

To: newvirus@kaspersky.com

Subject: Файл quarantine.zip из папки AVZ

Файл quarantine.zip из папки AVZ

[Описание: Описание: Описание: Описание: Описание: Описание: cid:image001.png@01CFD27B.272E7480]

https://virusinfo.info/virusdetector/report.php?md5=F03B0FC071EBE175F99CB8C6F976DC31

Изменено 19 июня, 2018 пользователем regist
убрал адрес почты, пока спамерам не попался

19 июня, 2018

ROM Server - ваше?

не ответили.

20 июня, 2018

Наше

20 июня, 2018

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Ждем.

Шифровальщик .bomber

Рекомендуемые сообщения

RamilKo

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

RamilKo

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

RamilKo

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum