Словил шифровальщик .bomber

[matalizer]

Добрый вечер!

Столкнулся с данной проблемой аналогично нескольким ТС:

 

 

ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!

 

Ваш личный идентификатор

6A02000000000000C2289F731552810DC030087A495141FF7FAC7459966D5A40306B6A6316C7CC0826D9D56846B74223B458

C93EFFC1E6D56E3715077006215D105137AA0C172F855C29C1926239BF3D7AAF0CAFADE2DE76A0B74D76E5E6D830E906D797

02FFBB3A386498C4027DBE00B324712A32CF20F7251A775A7DCB86A25013D95A556CD2FD161FABAC0090D5594BCF65B476A9

ACDA3060F3446450E7EAFA7DC3E0017121DBA2943D427C35DCBABEDED1B08D8E9C2F48B63027217CFCF2C8B713FFF9E75B59

69C926585DD8F570BF1107DD804D3C9A6E66CF777A8C367FDB7135519CEBBADC46AAB3C76CAE82765EDA59337F7B625C3DCA

AA336F4AA499AC3DC5380704DBBA0E310D3B56E5B8D7466DC9F3787A03B8158D71AAF6D69C3E20C7E135D8A2639970285477

853BC78B617AF1D2EEE2BC37B082E1C539645A9B47C13E

 

 

Ну и далее мануал по оплате расшифровки биткойнами

 

Прикрепляю файл сборщика логов

 

CollectionLog-2018.06.21-22.04.zip

[akoK]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\System32\config\systemprofile\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT', '');
 QuarantineFile('C:\Windows\system32\qbkujrb.dll','');
 DeleteFile('C:\Windows\system32\qbkujrb.dll','64');
 DeleteFile('C:\Windows\System32\config\systemprofile\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT', '32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','OYTfqa');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','OYTfqa');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
 

 

Компьютер перезагрузится. 

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - MSConfig\startupreg: 7-ZipPortable [command] = C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe  (file missing) (HKLM) (2018/06/19)

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

По поводу зашифрованных файлов, попробуйте восстановить из теневых копий подробнее

[regist]

+

@matalizer, перекачайте заново Автологер и сделайте свежие логи свежим Автологером.