Шифрование данных .bomber

[easeasd]

Добрый день. Компьютер подвергся заражению вирусом .bomber, вследствии чего практически все файлы стали иметь вид HgjhgJghghjgJVBNvjhvgdfrr.bomber (порядок символов и сами символы перед .bomber произвольны). Помогите пожалуйста расшифровать файлы и очистить компьютер

CollectionLog-2018.06.26-12.31.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\wZizU94.tmp\taskhostjf.exe','');
 QuarantineFile('C:\Windows\system32\DRIVERS\oem-drv64.sys','');
 QuarantineFile('C:\Users\Liza\AppData\Roaming\oobe\MSVFW32.dll','');
 TerminateProcessByName('c:\users\liza\appdata\roaming\oobe\msoobe.exe');
 QuarantineFile('c:\users\liza\appdata\roaming\oobe\msoobe.exe','');
 TerminateProcessByName('c:\molur49.tmp\taskhostrc.exe');
 QuarantineFile('c:\molur49.tmp\taskhostrc.exe','');
 DeleteFile('c:\molur49.tmp\taskhostrc.exe','32');
 DeleteFile('c:\users\liza\appdata\roaming\oobe\msoobe.exe','32');
 DeleteFile('C:\Users\Liza\AppData\Roaming\oobe\MSVFW32.dll','32');
 DeleteFile('C:\wZizU94.tmp\taskhostjf.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[easeasd]

KLAN-8290116257

 

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

Malicious code detected by Kaspersky Lab products with KSN technology enabled has been found in the following files:
taskhostjf.exe - UDS:DangerousObject.Multi.Generic
MSVFW32.dll - UDS:DangerousObject.Multi.Generic
taskhostrc.exe - UDS:DangerousObject.Multi.Generic

No information about the specified files can be found in the antivirus databases:
oem-drv64.sys

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com https://www.securelist.com"

Ответ с сайта https://virusinfo.info/upload_virus.php?tid=37678

Результат загрузки Файл сохранён как 180626_111352_quarantine_5b321ff0e8080.zip Размер файла 7199056 MD5 b566e435d5a6a581b07dfc1006649ce5 Файл закачан, спасибо!

CollectionLog-2018.06.26-14.17.zip

Изменено 26 июня, 2018 пользователем easeasd

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[easeasd]

Прошу, оба файла внутри архива

FRSTaddition.zip

[thyrex]

2018-06-19 05:19 - 2018-06-19 05:19 - 000002444 _____ C:\Users\Liza\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT

2018-06-19 03:02 - 2018-06-19 03:02 - 000002444 _____ C:\Users\Public\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT

2018-06-19 02:33 - 2018-06-19 02:47 - 000002444 _____ C:\Users\Liza\Downloads\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT

любой из этих файлов прикрепите к следующему сообщению

 

C:\Users\Liza\AppData\Local\Temp\123.exe

C:\Users\Liza\AppData\Local\Temp\adsdf.exe

C:\Users\Liza\AppData\Local\Temp\bd.exe

C:\Users\Liza\AppData\Local\Temp\n2.exe

C:\Users\Liza\AppData\Local\Temp\result.exe

заархивируйте в zip-архив с паролем virus и загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-293890369-3762355180-578206095-1000\...\Run: [MailRuUpdater] => C:\Users\Liza\AppData\Local\Mail.Ru\MailRuUpdater.exe [3477176 2018-05-14] (Mail.Ru) <==== ATTENTION
HKU\S-1-5-21-293890369-3762355180-578206095-1000\...\Run: [msoobe] => C:\Users\Liza\AppData\Roaming\oobe\msoobe.exe
HKU\S-1-5-21-293890369-3762355180-578206095-1000\...\Run: [7-ZipPortable] => C:\Users\Liza\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe [154032 2010-11-23] (PortableApps.com)
HKU\S-1-5-21-293890369-3762355180-578206095-1000\...\CurrentVersion\Windows: [Load] C:\wZizU94.tmp\taskhostjf.exe <==== ATTENTION
ShortcutTarget: TrueView 7.6.945.lnk -> C:\molur49.tmp\taskhostrc.exe (No File)
Startup: C:\Users\Liza\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StartUp\TrueView 7.6.945.lnk [2017-09-05]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iakddmmledeclcodpbgebfkhegaaddge] - hxxps://clients2.google.com/service/update2/crx
2018-06-26 12:13 - 2017-09-01 08:37 - 000000000 __SHD C:\Users\Все пользователи\oolmobaj
2018-06-26 12:13 - 2017-09-01 08:37 - 000000000 __SHD C:\ProgramData\oolmobaj
2018-06-26 12:00 - 2017-08-17 12:30 - 000000000 __SHD C:\Users\Все пользователи\fnoenfhg
2018-06-26 12:00 - 2017-08-17 12:30 - 000000000 __SHD C:\ProgramData\fnoenfhg
2018-06-26 12:00 - 2017-07-12 12:42 - 000000000 __SHD C:\Users\Все пользователи\hedambmh
2018-06-26 12:00 - 2017-07-12 12:42 - 000000000 __SHD C:\ProgramData\hedambmh
2017-08-17 14:58 - 2017-11-14 13:43 - 000409600 _____ () C:\Users\Liza\AppData\Local\Temp\123.exe
2017-11-14 13:36 - 2017-11-14 13:37 - 000379240 _____ () C:\Users\Liza\AppData\Local\Temp\adsdf.exe
2017-08-07 10:46 - 2017-08-07 10:46 - 000192360 _____ () C:\Users\Liza\AppData\Local\Temp\bd.exe
2017-09-06 12:34 - 2017-09-06 12:34 - 000000000 _____ () C:\Users\Liza\AppData\Local\Temp\doktop.exe
2017-09-05 15:33 - 2017-09-05 15:33 - 000000000 _____ () C:\Users\Liza\AppData\Local\Temp\lad1.exe
2017-09-21 10:30 - 2017-09-21 10:30 - 000000000 _____ () C:\Users\Liza\AppData\Local\Temp\mnb.exe
2017-08-04 14:44 - 2017-08-04 14:44 - 000354816 _____ (InMobi) C:\Users\Liza\AppData\Local\Temp\n2.exe
2017-08-28 21:53 - 2017-08-28 21:53 - 007407104 _____ () C:\Users\Liza\AppData\Local\Temp\result.exe
2017-10-23 11:14 - 2017-10-23 11:14 - 000000000 _____ () C:\Users\Liza\AppData\Local\Temp\testxvzxv.exe
Task: {BD2C839E-820F-4B60-892E-8CB0FEE2B483} - \Windows Update -> No File <==== ATTENTION
Task: {20E4B274-A0BD-4A27-A308-390889173041} - \AutoKMS -> No File <==== ATTENTION
FirewallRules: [TCP Query User{B8C66FFF-1862-43C9-B1B7-59E2599E6753}C:\wzizu94.tmp\taskhostjf.exe] => (Block) C:\wzizu94.tmp\taskhostjf.exe
FirewallRules: [UDP Query User{686BABBD-F04A-4FF8-927E-FD3841D17A1E}C:\wzizu94.tmp\taskhostjf.exe] => (Block) C:\wzizu94.tmp\taskhostjf.exe
FirewallRules: [TCP Query User{CB1D8FD5-C4CF-442A-86BB-4840AD0EFB11}C:\molur49.tmp\taskhostrc.exe] => (Block) C:\molur49.tmp\taskhostrc.exe
FirewallRules: [UDP Query User{F1B682BC-967F-4FC6-B955-0BA6CBE225F2}C:\molur49.tmp\taskhostrc.exe] => (Block) C:\molur49.tmp\taskhostrc.exe
FirewallRules: [TCP Query User{9FB7F7AE-909A-47A3-A10F-8C55BB9C4564}C:\molur49.tmp\taskhostrc.exe] => (Block) C:\molur49.tmp\taskhostrc.exe
FirewallRules: [UDP Query User{D00F9F0E-421E-49D0-ACF2-8A5C5BAD3BBC}C:\molur49.tmp\taskhostrc.exe] => (Block) C:\molur49.tmp\taskhostrc.exe
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[easeasd]

Ответ с сайта, на который загрузил архив

Результат загрузки Файл сохранён как 180626_131237_archive_5b323bc5c1df3.zip Размер файла 4284616 MD5 14d369dff61dcc324b339d416000e4a8 Файл закачан, спасибо!

 

 

КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT

Fixlog.txt

[thyrex]

Папку C:\Users\Liza\AppData\Roaming\Microsoft\7-Zip удалите вручную.

 

Не припомните, после каких действий (переход по ссылке из письма, запуск вложения из письма) началось шифрование?

[easeasd]

Удалил
Увы, что именно делалось с письмом (переходили ли в нём по ссылке, или же открывали вложение) неизвестно

[thyrex]

Про письмо это было предположение о возможном пути попадания на компьютер еще одного TeamViewer c:\users\liza\appdata\roaming\oobe\msoobe.exe

А уже с его помощью злодеи как-то удаленно сумели установить и запустить шифратор.

 

В папке c:\users\liza\appdata\roaming\oobe что-либо еще осталось?

 

С расшифровкой помочь не сможем.

[easeasd]

Да, остались папки x86 и x64, в которых содержатся файлы install64, TeamViewerVPN, teamviewervpn и teamviewervpn.sys

[thyrex]

Запакуйте в zip с паролем и отправьте по прежней ссылке. После этого папку удалите.

[easeasd]

Готово
Ответ с сайта, на который загрузил архив

Результат загрузки Файл сохранён как 180626_143802_oobe_5b324fca968d8.zip Размер файла 1941399 MD5 829f2367615895195215296c21c5cc5f Файл закачан, спасибо!

[thyrex]

Понятно, TeamViewerVPN и через него запустили шифратор.

 

Папку можно удалить

 

====================

 

FusionInventory Agent 2.3.18 случайно не обновляли в последнее время? И что вообще обновляли или автоматически обновилось из не имеющих отношения к системе программ? В первую очередь бухгалтерские и т.п.