Поймали шифровальщик id-1814CB43.[usacode@aol.com].USA

[Виталий Гусев]

Привет всем

Помогите в расшифровки файлов

Поймали сегодня ночью - все расшариные папки зашифровал

Расширение у файлов - id-1814CB43.[usacode@aol.com].USA

[thyrex]

Порядок оформления запроса о помощи

Логи прикрепите к следующему сообщению в данной теме.

[Виталий Гусев]

Вот файл лога

Нашел комп источник

Сейчас логи скину

 

 

CollectionLog-2019.01.23-20.55.zip

Изменено 23 января, 2019 пользователем Виталий Гусев

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\rst\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\expIorer.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\expIorer.exe','');
 QuarantineFile('C:\Windows\System32\expIorer.exe','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\rst\AppData\Roaming\Info.hta','x32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\rst\AppData\Roaming\Info.hta','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\rst\AppData\Roaming\Info.hta','x64');
 DeleteFile('C:\Windows\System32\expIorer.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\expIorer.exe','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^expIorer.exe','x64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\expIorer.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Users\rst\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\expIorer.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^rst^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^expIorer.exe','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^rst^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta','x64');
 DeleteFile('C:\Users\rst\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[Виталий Гусев]

Загрузить не получается - говорит что ранее был загружен

Касперский по ходу удалил

[thyrex]

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ждем.