Шифровальщик bomber

22 сентября, 2018

На Windows XP SP3 открыли письмо, предположительно с которого и началось заражение:

=============

"Южанникова Альбина" <frontera5@rambler.ru>:

Добрый день

Никак не могу с вами связаться( Направляю наши новые реквизиты

=============

с вложением "Реквизиты Обновление.src.gz"

(к этой теме прикреплён запароленный архив virus-src.gz-.7z с этим вложением)

Касперский идентифицирует это вложение, как Trojan.Win32.Poweliks.aesg

DrWeb - Trojan.Encoder.26361

Затем документы на компьютере переименовывались, как например 6S39+hjSlfkBUHBqHHc с раширением bomber а содержимое файлов становилось зашифрованным или искажённым.

После этого система была перепроверена утилитами DrWeb, FreeKaspersky, KVRT

В запароленном архиве virus-ti1.exe-.7z найденный FreeKaspersky, как UDS:DangerousObject.Multi.Generic

В архиве KVRT_reports.zip три лога проверки утилитой KVRT

В архиве "Рабочий стол-encrypted.zip" зашифрованные документы с рабочего стола, включая два скрытых файла (предположительно это desktop.ini и thumbs.db)

Так же к теме прикреплён файл от шифровальщика "HOW TO RECOVER ENCRYPTED FILES.txt" с инструкцией по расшифровке файлов за криптовалюту

и лог от утилиты AutoLogger.

Пароль от двух запороленных архивов "virus"

Сообщение от модератора thyrex

Вредоносное вложение удалено

CollectionLog-2018.09.21-23.36.zip

KVRT_reports.zip

HOW TO RECOVER ENCRYPTED FILES.TXT

Рабочий стол-encrypted.zip

Изменено 22 сентября, 2018 пользователем thyrex

22 сентября, 2018

С расшифровкой помочь не сможем. Будет только зачистка мусора.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

22 сентября, 2018

С расшифровкой помочь не сможем. Будет только зачистка мусора.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

frst-logs.zip

22 сентября, 2018

2018-09-19 17:07 - 2018-09-19 17:29 - 000002145 _____ C:\Documents and Settings\Депутат1\Рабочий стол\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-09-19 16:58 - 2018-09-19 17:29 - 000002145 _____ C:\Documents and Settings\Депутат1\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\Documents and Settings\Депутат1\Мои документы\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\Documents and Settings\Депутат1\Главное меню\Программы\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\Documents and Settings\Депутат1\Главное меню\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\Documents and Settings\Администратор\Главное меню\Программы\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\Documents and Settings\HOW TO RECOVER ENCRYPTED FILES.TXT

удалите вручную. Больше помочь нечем

22 сентября, 2018

2018-09-19 17:07 - 2018-09-19 17:29 - 000002145 _____ C:\Documents and Settings\Депутат1\Рабочий стол\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-09-19 16:58 - 2018-09-19 17:29 - 000002145 _____ C:\Documents and Settings\Депутат1\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\Documents and Settings\Депутат1\Мои документы\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\Documents and Settings\Депутат1\Главное меню\Программы\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\Documents and Settings\Депутат1\Главное меню\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\Documents and Settings\Администратор\Главное меню\Программы\HOW TO RECOVER ENCRYPTED FILES.TXT

2018-09-19 16:58 - 2018-09-19 16:58 - 000002145 _____ C:\Documents and Settings\HOW TO RECOVER ENCRYPTED FILES.TXT

удалите вручную. Больше помочь нечем

Спасибо.

Шифровальщик bomber

Рекомендуемые сообщения

MrMeow

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

MrMeow

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

MrMeow

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum