Вирус шифровальщик расширение .puma

22 ноября, 2018

Добрый день.

Поймал вирус шифровальщик все фото и документы на компьютере с расширением .puma

Приложил лог-файл. Также приложил зашифрованный файл для примера и записку с требованиями.

Подцепил скорее всего путем скачивания пиратского софта из интернета...

Готов предоставить дополнительную информацию по необходимости.

Заранее спасибо.

CollectionLog-2018.11.22-20.30.zip

!readme.txt

22 ноября, 2018

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files (x86)\HZED\230128506.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','qsoweczy41c','x64');
 DeleteFile('C:\Program Files (x86)\HZED\230128506.exe','64');
 DeleteFile('C:\Users\johnr\AppData\Local\Temp\mmtm.exe','32');
 DeleteFile('C:\ProgramData\kjxfe\vfje.exe','32');
 DeleteSchedulerTask('Test Task17.job');
 DeleteSchedulerTask('nmrcxxodasgljaijouu.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

22 ноября, 2018

Файл сохранён как 181122_184451_quarantine_5bf6f923d9c66.zip Размер файла 420394 MD5 0684554caf19dea99daa578ba97a02e3

CollectionLog-2018.11.22-21.48.zip

Изменено 22 ноября, 2018 пользователем olmer84

22 ноября, 2018

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

22 ноября, 2018

Сделал

Desktop.zip

22 ноября, 2018

Это Stop Ransomware. Расшифровки нет. Только зачистка следов мусора.

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-1578095108-2166787242-3072233778-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://hi.ru/search/?q={searchTerms}
CHR HKLM-x32\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [imhlianhlhdicjchlbmbfaefhhjencbe] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
2018-11-21 07:53 - 2018-11-22 00:49 - 000000251 _____ C:\Users\Все пользователи\FFFJZKGK21.exe.puma
2018-11-21 07:53 - 2018-11-22 00:49 - 000000251 _____ C:\Users\Все пользователи\F2SLALQUYV.exe.puma
2018-11-21 07:53 - 2018-11-22 00:49 - 000000251 _____ C:\ProgramData\FFFJZKGK21.exe.puma
2018-11-21 07:53 - 2018-11-22 00:49 - 000000251 _____ C:\ProgramData\F2SLALQUYV.exe.puma
2018-11-21 07:53 - 2018-11-22 00:48 - 000000000 ____D C:\Users\Все пользователи\NTNAKAP4XMNZI6A1JZRC
2018-11-21 07:53 - 2018-11-22 00:48 - 000000000 ____D C:\ProgramData\NTNAKAP4XMNZI6A1JZRC
2018-11-21 07:53 - 2018-11-21 07:53 - 000000000 ____D C:\WINDOWS\SysWOW64\kusajqzi
2018-11-21 07:49 - 2018-11-22 21:41 - 000000000 ____D C:\Program Files (x86)\HZED
2018-11-21 07:48 - 2018-11-22 01:21 - 000000000 ____D C:\Users\Все пользователи\kjxfe
2018-11-21 07:48 - 2018-11-22 01:21 - 000000000 ____D C:\ProgramData\kjxfe
2018-11-21 07:48 - 2018-11-21 07:48 - 000000000 ____D C:\Users\johnr\AppData\Roaming\Microleaves
2018-11-22 00:45 - 2018-11-22 00:45 - 000000049 _____ () C:\Users\johnr\AppData\Local\script.ps1
Task: {104B5827-A97D-4E21-99E9-61A14069D4FC} - \System\SystemCheck -> No File <==== ATTENTION
Task: {4808D2A9-63D5-4520-96DD-CE62527DAA49} - \OneDrive Standalone Update Task v2 -> No File <==== ATTENTION
Task: {84F00E61-173D-4053-B137-D4E9E16CF9C9} - \OneDrive Standalone Update Task-S-1-5-21-1578095108-2166787242-3072233778-1001 -> No File <==== ATTENTION
Task: {DAF08CCB-0166-4330-88F2-C095F9B071BB} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
HKU\S-1-5-21-1578095108-2166787242-3072233778-1001\Software\Classes\regfile: regedit.exe "%1" <==== ATTENTION
AlternateDataStreams: C:\Users\johnr\AppData\Local\Temp:$DATA [16]
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

22 ноября, 2018

Спасибо

Зачистку делать не буду т.к. будет установка ос на новый хард.

Осталось только 2 вопроса

1) Есть ли резон сохранить зашифрованные файлы на будущее, над расшифровкой мб кто работает?

2) Есть ли резон связываться с теми кто вирус подкинул? оплата и тд... ?

22 ноября, 2018

1. Об этом знают только в самом вирлабе. В разделе здесь отвечают простые пользователи.

2. На свой страх и риск.

22 ноября, 2018

Спасибо ещё раз за потраченное на меня время

22 ноября, 2018

@olmer84, + просьба сделайте экспорт этого ключа реестра

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

заархивируйте его и прикрепите к сообщению.

22 ноября, 2018

Пожалуйста

2.zip

23 ноября, 2018

Если лицензия на антивирус есть, попробуйте таки создать запрос, прикрепив к нему сообщение вымогателей + пару - шифрованный и незашифрованный - одного и того же файла

Вирус шифровальщик расширение .puma

Рекомендуемые сообщения

olmer84

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

olmer84

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

olmer84

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

olmer84

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

olmer84

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

olmer84

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum