Вирус-шифровальщик email-biger@x-mail.pro.ver-CL 1.5.1.0.doubleoffset

[urni6393]

Здравствуйте.

Пользователь открыл сообщение эл.почты и вирус зашифровал все документы, изображения и т.д. В итоге почти все файлы компьютера зашифрованы.

 

Есть ли надежда на дешифровку?

образцы.rar

CollectionLog-2018.12.12-07.48.zip

README.txt

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Documents and Settings\Uniq`s\Application Data\Microsoft\Internet Explorer\Quick Launch\README.txt', '');
 QuarantineFile('C:\Documents and Settings\Uniq`s\Главное меню\Программы\Автозагрузка\README.txt', '');
 QuarantineFile('C:\Temp\NBWCYKAXHE.exe', '');
 QuarantineFile('win32x.sys', '');
 DeleteFile('C:\Documents and Settings\Uniq`s\Application Data\Microsoft\Internet Explorer\Quick Launch\README.txt', '32');
 DeleteFile('C:\Documents and Settings\Uniq`s\Главное меню\Программы\Автозагрузка\README.txt', '32');
 DeleteFile('C:\Temp\NBWCYKAXHE.exe', '32');
 DeleteFile('win32x.sys', '32');
 DeleteService('win32x');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '3166863828', '32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O3 - HKCU\..\Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} - (no file)
O3 - HKCU\..\Toolbar: (no name) - {710EB7A1-45ED-11D0-924A-0020AFC7AC4D} - (no file)
O4 - Startup other users: C:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка\README.txt
O4 - Startup other users: C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\README.txt
O4 - User Startup: C:\Documents and Settings\Uniq`s\Главное меню\Программы\Автозагрузка\README.txt
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать ВСЕ при помощи Download Master: (default) = (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать при помощи Download Master: (default) = (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Передать на удаленную закачку DM: (default) = (no file)
O9 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74}: (no name) - (no file)
O12 - HKLM\..\Internet Explorer\Plugins\MIME\application/intertrust-spop: [Location] = (no file)

 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[urni6393]

ответ с newvirus@kaspersky.com

 

KLAN-9256595284

 

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
README.txt
README_0.txt

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

свежие логи

CollectionLog-2018.12.12-23.17.zip

[regist]

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
 

+

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[urni6393]

Подскажите, какие файлы прикрепить к запросу на расшифровку?

[regist]

можете теже образцы и ридми, что в первом посте прикрепили.