Шифровальщик Omerta

[a.airat32]

Вирус зашифровал все документы на компьютере и переименовал их

Прикрепленные файлы

 

CollectionLog-2018.08.06-12.30.zipПолучение информации...

инструкция и пример файла.rarПолучение информации...

Изменено 6 августа, 2018 пользователем a.airat32

[regist]

С рассшифровкой помочь не сможем, только почистить хвосты.

 

"Пофиксите" в HijackThis:

O4 - HKCU\..\Run: [rlxov] = C:\Windows\system32\notepad.exe "C:\Users\Администратор\Инструкция по расшифровке файлов.TXT"

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Изменено 6 августа, 2018 пользователем regist

[thyrex]

+ В присланном Вами файле с расширением .omerta просто переименованное сообщение вымогателей для связи. Пришлите в архиве пример другого зашифрованного файла.

[a.airat32]

Прикладываю файлы как и просили. и еще подскажите по какой причине у нас зашифровались файлы может это видно в логах. Спасибо.

перезалил другой файл

Addition.txtПолучение информации...

FRST.txtПолучение информации...

MHTeFmRnb~-G#.rarПолучение информации...

[regist]

 

 

  thyrex сказал:

Пришлите в архиве пример другого зашифрованного файла.

это тоже сделайте.

 

+ вижу у вас хвосты от Doctor Web это CureiT использовали или раньше был установлен? Если второе, то желательно вычистить от его хвостов. И если есть лицензия на них, то обратиться в их тех. поддержку (а вдруг смогут рассшифровать?).

Если есть лицензия на KES, создайте запрос на расшифровку.

 

+

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC-EndPointMapper] => (Allow) %systemroot%\system32\scshost.exe
  FirewallRules: [{4B1E7A1C-A328-4D67-B2EA-4E3235728ED9}] => (Allow) %systemroot%\system32\scshost.exe
  FirewallRules: [{8EFF52FC-044A-4B4B-B89E-3771AAD46E73}] => (Allow) %systemroot%\system32\scshost.exe
  2018-07-13 03:00 - 2018-07-13 03:00 - 000003554 _____ C:\Users\Администратор\Downloads\Инструкция по расшифровке файлов.TXT
  2018-07-13 03:00 - 2018-07-13 03:00 - 000003554 _____ C:\Users\Администратор\Documents\Инструкция по расшифровке файлов.TXT
  2018-07-13 02:55 - 2018-07-13 03:01 - 000003554 _____ C:\Users\Администратор\Инструкция по расшифровке файлов.TXT
  2018-07-13 02:55 - 2018-07-13 03:01 - 000003554 _____ C:\Users\Администратор\Desktop\Инструкция по расшифровке файлов.TXT
  2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\Инструкция по расшифровке файлов.TXT
  2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\TEMP\Инструкция по расшифровке файлов.TXT
  2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\TEMP.CROWN\Инструкция по расшифровке файлов.TXT
  2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\TEMP.CROWN.000\Инструкция по расшифровке файлов.TXT
  2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\Public\Инструкция по расшифровке файлов.TXT
  2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\Public\Downloads\Инструкция по расшифровке файлов.TXT
  2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\Public\Documents\Инструкция по расшифровке файлов.TXT
  2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\admin\Инструкция по расшифровке файлов.TXT
  2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\admin\Downloads\Инструкция по расшифровке файлов.TXT
  2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\admin\Documents\Инструкция по расшифровке файлов.TXT
  2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\admin\Desktop\Инструкция по расшифровке файлов.TXT
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

[a.airat32]

Приклепил

  В 06.08.2018 в 10:50, thyrex сказал:

+ В присланном Вами файле с расширением .omerta просто переименованное сообщение вымогателей для связи. Пришлите в архиве пример другого зашифрованного файла.

Как вы это поняли?

файл работы программы

пример зашифрованного файла

Fixlog.txtПолучение информации...

Fixlog.txtПолучение информации...

MHTeFmRnb~-G#.rarПолучение информации...

[thyrex]

 

 

  a.airat32 сказал:

и еще подскажите по какой причине у нас зашифровались файлы может это видно в логах

шифрование шло ночью. Значит был вход по RDP. Пароль от него смените.

 

  a.airat32 сказал:

Как вы это поняли?

просто открыл содержимое. Да и размер у него с точностью до байта совпадает с размером файла от вымогателей для связи.

[regist]

@a.airat32, имейте элементарное терпение. Мы тут помогаем в своё личное свободное время, когда не заняты работой и другими делами. И помогаем ещё и на других форумах. Так что требовать, чтобы через пять минут после вашего поста вам писали ответ это верх нахальства.

 

Тем более по делу всё уже выше было написано. Только добавлю

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[snip_cs@list.ru]

Пара.rarПолучение информации...

Вот приложил небольшой файл (оригинал и зашифрованный вариант)

Если есть вариант дешифровки буду очень рад, 
так как я целый диск законсервировал в ожидании восстановить все зашифрованные файлы.

Пара.rarПолучение информации...

[regist]

@snip_cs@list.ru, не пишите в чужой теме.

Порядок оформления запроса о помощи

Особенно внимательно пункт №3 прочитайте.