Перейти к содержанию

Шифровальщик trojan.encoder.27210


Рекомендуемые сообщения

Доброго дня!
Компьютер заразился шифровальщиком trojan.encoder.27210.
Причина и источник заражения не известен, подозреваем выполнение постороннего приложения пользователем
с постороннего носителя или из сети.

Троян зашифровал все файлы doc, docx, xls, xlsx, прочие файлы MS Office, все графические форматы, такие как JPG, TIFF, PNG
и прочие, расположенные на пораженной машине. Заражение исполняемых exe-файлов не произошло.

Полностью произвели действия, как было указано в теме "Порядок оформления запроса о помощи",

прикладываю лог и несколько файлов, зашифрованных вирусом.

Благодарю заранее за помощь!
 

CollectionLog-2019.02.27-09.50.zip

затопление квартиры.docx

Меню обед и полдник(ГПД ) 2017 г..xls

контракт на гпд январь-май.doc

Изменено пользователем KameradS
Ссылка на комментарий
Поделиться на другие сайты

От себя могу добавить, что в нашей организации установлено 190 лицензий продукта Kaspersky endpoint security,

и на пораженной машине так же установлен этот продукт, который всегда своевременно обновляется.

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Если есть текстовый (или htm) файл с требованием выкупа, упакуйте его в архив и прикрепите к следующему сообщению.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Скрипт выполнен, машина, как Вы и писали, тут же перезагрузилась.

После этого визуальных изменений не обнаружили.

Текстовый файл с требованием выкупа, который появился в любой папке, содержащий любой из зашифрованных

документов, упакован в ZIP и прикреплен к этому сообщению, как Вы и просили.

Благодарим заранее за помощь!

YOUR FILES ARE ENCRYPTED.zip

Ссылка на комментарий
Поделиться на другие сайты

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

+

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Процедуру провел буквально по пунктам, как Вы и говорили.

Получил ссылку: https://virusinfo.info/virusdetector/report.php?md5=77C8F71130F8492192F3BA092B1E5797

MD5 карантина: 77C8F71130F8492192F3BA092B1E5797

 

Скачал утилиту Farbar***, запустил именно ту, которая соответствует разрядности пораженной системе,

просканировал систему, получил файлы, которые Вы просили прикрепить к своему следующему сообщению.

Что я и делаю.

Благодарю за инструкции, надеюсь, мои действия верные и помогут исправить ситуацию.

FRST.txt

Addition.txt

Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    GroupPolicyScripts: Restriction <==== ATTENTION
    CHR HKU\S-1-5-21-3292416752-4129641791-2326513281-2219\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-3292416752-4129641791-2326513281-2219\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bobeehhgpnppdghmfffdjadmbjbaeeod] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-3292416752-4129641791-2326513281-2219\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-3292416752-4129641791-2326513281-2219\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-3292416752-4129641791-2326513281-2219\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-3292416752-4129641791-2326513281-2219\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-3292416752-4129641791-2326513281-2219\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
    2018-02-08 15:08 - 2017-08-11 18:20 - 001314008 _____ (Mail.Ru) C:\Users\sirotina_gi\AppData\Local\Temp\ae6b-280c-5344-afac.exe
    2016-06-10 16:03 - 2016-06-10 16:04 - 048920808 _____ (Mail.Ru) C:\Users\sirotina_gi\AppData\Local\Temp\AmigoDistrib.exe
    2016-08-04 09:02 - 2018-01-15 10:35 - 055341560 _____ (Mail.Ru) C:\Users\sirotina_gi\AppData\Local\Temp\amigo_setup.exe
    2018-02-08 15:08 - 2017-08-11 18:20 - 001314008 _____ (Mail.Ru) C:\Users\sirotina_gi\AppData\Local\Temp\c386-c00d-819b-a4d3.exe
    2017-08-21 08:33 - 2017-08-11 18:20 - 001314008 _____ (Mail.Ru) C:\Users\sirotina_gi\AppData\Local\Temp\f66d-8cd9-318f-d1a8.exe
    2016-06-10 16:03 - 2016-06-01 16:14 - 005873880 _____ (Mail.Ru) C:\Users\sirotina_gi\AppData\Local\Temp\MailRuUpdater.exe
    2016-09-05 09:02 - 2017-04-14 19:21 - 004127960 _____ (Mail.Ru) C:\Users\sirotina_gi\AppData\Local\Temp\mrutmp.exe
    Task: {B6B9F787-427D-4C61-8D1D-F354BBDCBC5F} - System32\Tasks\MailRuUpdater => C:\Users\sirotina_gi\AppData\Local\Mail.Ru\MailRuUpdater.exe (LLC Mail.Ru -> Mail.Ru) <==== ATTENTION
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Отключили антивирус, выделили и скопировали код, представленный Вами (проверили даже содержимое буфера обмена).

Запустили FRST от администратора, нажали FIX один раз, получили лог, который прикрепляю к этому сообщению.

Компьютер перезагрузился автоматически, как Вы и говорили.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Скажите, пожалуйста, а в течении какого времени примерно отвечают сотрудники портала,

где расположен мой официальный запрос в Kaspersky Company Account?

Обращаюсь впервые, создал аккаунт, зарегистрировал корпоративный ключ.

Благодарю!

Ссылка на комментарий
Поделиться на другие сайты

Вчера вечером уже после окончания рабочего дня ответили.

Провожу манипуляции, указанные специалистом лаборатории, и продолжаю надеяться на положительный результат.

О нем обязательно сообщу!

Изменено пользователем KameradS
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Получен ответ. Если в одном слове - увы!

Анализ предоставленных файлов показал, что они были зашифрованы троянской программой Trojan-Ransom.Win32.Crypmod. К сожалению, расшифровка файлов, на текущий момент, не возможна. Шифровальщик использует криптостойкие асимметричные алгоритмы. Публичные ключи (для шифрования) вшиты в сам шифровальщик, приватные ключи (для расшифровки) доступны только злоумышленникам.

Наши специалисты используют все имеющиеся возможности для того чтобы восстановить алгоритм шифрования и иметь возможность создавать ключи дешифровки (декрипторы), однако данный процесс довольно трудоемкий и может занять длительное время.

Сергей, мне очень жаль, что на данный момент, мы не можем предоставить Вам утилиту для расшифровки. Если информация в файлах со временем не утеряет своей актуальности, просьба сохранить их в удобном для Вас месте (облако, жесткий диск и т.д.) Я сохранил информацию по Вашему запросу и при успешном создании декриптора мы Вас обязательно уведомим.

В любом случае благодарю всех за помощь и сочувствие!

Тему можно закрыть.

Изменено пользователем KameradS
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • PROXY
      От PROXY
      Здравствуйте. Злоумышленник зашифровал все файлы, включая систему, используя Trojan.Encoder.37506.
      Есть возможность расшифровать данные? Прикладываю архив с несколькими зашифрованными файлами + файл Key.Secret.
      Заранее благодарю!
      virus.zip
    • Мимохожий
      От Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3).
      Просим помощи в расшифровке
      Файл вируса в архиве имеется.
      Убиты все сервера компании.
       
      Mimo.rar
    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • Aleksandr63
      От Aleksandr63
      Здравствуйте! зашифровало всё
      Новая папка.7z FRST.txt
    • Irina4832
      От Irina4832
      Помогите! Все файлы зашифровали, онлай определители типа шифровщика его не находят
      qbpBqR1L6.README.txt
×
×
  • Создать...