Шифровальщик [goodjob24@foxmail.com].myjob

26 ноября, 2018

Добрый день. Просьба помочь с расшифровкой от goodjob24@foxmail.com.

CollectionLog-2018.11.26-15.16.zip

26 ноября, 2018

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

O7 - TroubleShooting: (EV) HKCU\..\Environment: [TEMP] = (not exist)
O7 - TroubleShooting: (EV) HKCU\..\Environment: [TMP] = (not exist)
O7 - TroubleShooting: (EV) HKU\.DEFAULT\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\.DEFAULT\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-19\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-19\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-20\..\Environment: [TEMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-20\..\Environment: [TMP] = C:\Windows\system32\config\systemprofile\AppData\Local\Temp (folder missing)

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\expIorer.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\consultant\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Windows\System32\expIorer.exe', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-2651E46F.[goodjob24@foxmail.com].myjob', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\expIorer.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\consultant\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Windows\System32\expIorer.exe', '64');
 DeleteFile('C:\Windows\System32\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\consultant\AppData\Roaming\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'expIorer.exe', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

Пожалуйста, перезагрузите компьютер вручную.

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

27 ноября, 2018

Благодарим за обращение в Антивирусную Лабораторию[/size]

Присланные вами файлы были проверены в автоматическом режиме.[/size]

В следующих файлах обнаружен вредоносный код:[/size]
expIorer.exe - Trojan-Ransom.Win32.Crusis.to[/size]
expIorer_0.exe - Trojan-Ransom.Win32.Crusis.to[/size]

В антивирусных базах информация по присланным вами файлам отсутствует:[/size]
Info.hta[/size]
Info_0.hta[/size]
Info_1.hta[/size]

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.[/size]

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.[/size]

Антивирусная Лаборатория, Kaspersky Lab HQ[/size]

"Ленинградское шоссе 39A/3, Москва, 125212, Russia[/size]
Телефон/Факс: + 7 (495) 797 8700 [/size]
http://www.kaspersky.com [/size]https://www.securelist.com"

CollectionLog-2018.11.26-15.16.zip

ой это старый вот новый лог

27 ноября, 2018

Перезалейте, пожалуйста, через Расширенную форму - Прикрепить файлы.

27 ноября, 2018

Новый лог от 27 ноября

CollectionLog-2018.11.27-10.37.zip

27 ноября, 2018

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

27 ноября, 2018

Логи FRST

Addition.txt

FRST.txt

27 ноября, 2018

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
Startup: C:\Users\consultant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\expIorer.exe [2018-11-26] ()
Startup: C:\Users\consultant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-11-26] ()
2018-11-26 03:03 - 2018-11-26 10:16 - 000000176 _____ C:\FILES ENCRYPTED.txt
2018-11-26 03:03 - 2018-11-26 03:03 - 000000176 _____ C:\Users\consultant\Desktop\FILES ENCRYPTED.txt
2018-11-26 01:57 - 2018-11-26 01:57 - 000094720 _____ C:\Users\consultant\Downloads\expIorer.exe
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

27 ноября, 2018

лог-файл

Fixlog.txt

27 ноября, 2018

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Хотя шансы на успех невелики.

Шифровальщик [goodjob24@foxmail.com].myjob

Рекомендуемые сообщения

Danre9913

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Danre9913

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Danre9913

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Danre9913

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Danre9913

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum