Поймали шифровальщик email-tapok@tuta.io.ver-CL 1.5.1.0.id-1648700677

[Alexsei]

Добрый день. Поймал этот шифровальщик, есть ли возможность восстановить файлы?

Лог прикрепил.

CollectionLog-2019.01.24-16.53.zip

[SQ]

Здравствуйте,

Расшифровки нет. Можем только помочь удалить мусор.

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00avg: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[regist]

+

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

 

[Alexsei]

Доброе утро. Сделал все как просили. Прилагаю файлы.

Доброе утро. Выполнил скрип. Файлы прилагаются.

Скачать можно по ссылке: https://drive.google.com/open?id=1U4mV2-hkcRTaeVWg1_TyhhWDz7yy-2zv

Addition.txt

FRST.txt

[SQ]

Удалите остатки от антивируса Avast.

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  Start::
  CreateRestorePoint:
  2019-01-24 08:02 - 2019-01-24 08:02 - 000000069 _____ C:\Users\Public\README.txt
  2019-01-24 08:02 - 2019-01-24 08:02 - 000000069 _____ C:\Users\Public\Downloads\README.txt
  2019-01-24 08:02 - 2019-01-24 08:02 - 000000069 _____ C:\Users\Public\Documents\README.txt
  Folder: C:\linecore
  FirewallRules: [{E8BFB2A3-2030-481E-AABC-165BF19ED4FA}] => (Allow) C:\Program Files\AVG\Antivirus\AvEmUpdate.exe No File
  FirewallRules: [{6F2C2761-AB1E-4034-89E3-8783C27A799F}] => (Allow) C:\Program Files\AVG\Antivirus\AvEmUpdate.exe No File
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

[Alexsei]

 

Удалите остатки от антивируса Avast.

 

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  Start::
  CreateRestorePoint:
  2019-01-24 08:02 - 2019-01-24 08:02 - 000000069 _____ C:\Users\Public\README.txt
  2019-01-24 08:02 - 2019-01-24 08:02 - 000000069 _____ C:\Users\Public\Downloads\README.txt
  2019-01-24 08:02 - 2019-01-24 08:02 - 000000069 _____ C:\Users\Public\Documents\README.txt
  Folder: C:\linecore
  FirewallRules: [{E8BFB2A3-2030-481E-AABC-165BF19ED4FA}] => (Allow) C:\Program Files\AVG\Antivirus\AvEmUpdate.exe No File
  FirewallRules: [{6F2C2761-AB1E-4034-89E3-8783C27A799F}] => (Allow) C:\Program Files\AVG\Antivirus\AvEmUpdate.exe No File
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

 

Добрый день.

Сделал как просили. Файлы прилагаются.

Fixlog.txt

[SQ]

Пробуйте выпольнить следующие инструкции:
https://forum.kasperskyclub.ru/index.php?showtopic=48525

P.S. Не удаляйте каталог C:\FRST пока не решите вопрос с расшифровкой, возможно файлы из карантина понадобятся при запросе в тех. поддержку ЛК.