Шифровальщик trojan.encoder.27210

[KameradS]

Доброго дня!
Компьютер заразился шифровальщиком trojan.encoder.27210.
Причина и источник заражения не известен, подозреваем выполнение постороннего приложения пользователем
с постороннего носителя или из сети.

Троян зашифровал все файлы doc, docx, xls, xlsx, прочие файлы MS Office, все графические форматы, такие как JPG, TIFF, PNG
и прочие, расположенные на пораженной машине. Заражение исполняемых exe-файлов не произошло.

Полностью произвели действия, как было указано в теме "Порядок оформления запроса о помощи",

прикладываю лог и несколько файлов, зашифрованных вирусом.

Благодарю заранее за помощь!
 

CollectionLog-2019.02.27-09.50.zip

затопление квартиры.docx

Меню обед и полдник(ГПД ) 2017 г..xls

контракт на гпд январь-май.doc

Изменено 27 февраля, 2019 пользователем KameradS

[KameradS]

От себя могу добавить, что в нашей организации установлено 190 лицензий продукта Kaspersky endpoint security,

и на пораженной машине так же установлен этот продукт, который всегда своевременно обновляется.

[Sandor]

Здравствуйте!

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Если есть текстовый (или htm) файл с требованием выкупа, упакуйте его в архив и прикрепите к следующему сообщению.

[KameradS]

Скрипт выполнен, машина, как Вы и писали, тут же перезагрузилась.

После этого визуальных изменений не обнаружили.

Текстовый файл с требованием выкупа, который появился в любой папке, содержащий любой из зашифрованных

документов, упакован в ZIP и прикреплен к этому сообщению, как Вы и просили.

Благодарим заранее за помощь!

YOUR FILES ARE ENCRYPTED.zip

[Sandor]

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

+

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[KameradS]

Процедуру провел буквально по пунктам, как Вы и говорили.

Получил ссылку: https://virusinfo.info/virusdetector/report.php?md5=77C8F71130F8492192F3BA092B1E5797

MD5 карантина: 77C8F71130F8492192F3BA092B1E5797

 

Скачал утилиту Farbar***, запустил именно ту, которая соответствует разрядности пораженной системе,

просканировал систему, получил файлы, которые Вы просили прикрепить к своему следующему сообщению.

Что я и делаю.

Благодарю за инструкции, надеюсь, мои действия верные и помогут исправить ситуацию.

FRST.txt

Addition.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  GroupPolicyScripts: Restriction <==== ATTENTION
  CHR HKU\S-1-5-21-3292416752-4129641791-2326513281-2219\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
  CHR HKU\S-1-5-21-3292416752-4129641791-2326513281-2219\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bobeehhgpnppdghmfffdjadmbjbaeeod] - hxxps://clients2.google.com/service/update2/crx
  CHR HKU\S-1-5-21-3292416752-4129641791-2326513281-2219\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi] - hxxps://clients2.google.com/service/update2/crx
  CHR HKU\S-1-5-21-3292416752-4129641791-2326513281-2219\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx
  CHR HKU\S-1-5-21-3292416752-4129641791-2326513281-2219\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
  CHR HKU\S-1-5-21-3292416752-4129641791-2326513281-2219\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
  CHR HKU\S-1-5-21-3292416752-4129641791-2326513281-2219\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
  2018-02-08 15:08 - 2017-08-11 18:20 - 001314008 _____ (Mail.Ru) C:\Users\sirotina_gi\AppData\Local\Temp\ae6b-280c-5344-afac.exe
  2016-06-10 16:03 - 2016-06-10 16:04 - 048920808 _____ (Mail.Ru) C:\Users\sirotina_gi\AppData\Local\Temp\AmigoDistrib.exe
  2016-08-04 09:02 - 2018-01-15 10:35 - 055341560 _____ (Mail.Ru) C:\Users\sirotina_gi\AppData\Local\Temp\amigo_setup.exe
  2018-02-08 15:08 - 2017-08-11 18:20 - 001314008 _____ (Mail.Ru) C:\Users\sirotina_gi\AppData\Local\Temp\c386-c00d-819b-a4d3.exe
  2017-08-21 08:33 - 2017-08-11 18:20 - 001314008 _____ (Mail.Ru) C:\Users\sirotina_gi\AppData\Local\Temp\f66d-8cd9-318f-d1a8.exe
  2016-06-10 16:03 - 2016-06-01 16:14 - 005873880 _____ (Mail.Ru) C:\Users\sirotina_gi\AppData\Local\Temp\MailRuUpdater.exe
  2016-09-05 09:02 - 2017-04-14 19:21 - 004127960 _____ (Mail.Ru) C:\Users\sirotina_gi\AppData\Local\Temp\mrutmp.exe
  Task: {B6B9F787-427D-4C61-8D1D-F354BBDCBC5F} - System32\Tasks\MailRuUpdater => C:\Users\sirotina_gi\AppData\Local\Mail.Ru\MailRuUpdater.exe (LLC Mail.Ru -> Mail.Ru) <==== ATTENTION
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[KameradS]

Отключили антивирус, выделили и скопировали код, представленный Вами (проверили даже содержимое буфера обмена).

Запустили FRST от администратора, нажали FIX один раз, получили лог, который прикрепляю к этому сообщению.

Компьютер перезагрузился автоматически, как Вы и говорили.

Fixlog.txt

[Sandor]

Создайте запрос на расшифровку через Company Account.

[KameradS]

Создал, благодарю!

 

https://companyaccount.kaspersky.com/request/view/SR36B4DB409C6B45B9AC725C51C3ADA0CA

[KameradS]

Скажите, пожалуйста, а в течении какого времени примерно отвечают сотрудники портала,

где расположен мой официальный запрос в Kaspersky Company Account?

Обращаюсь впервые, создал аккаунт, зарегистрировал корпоративный ключ.

Благодарю!

[Sandor]

Как правило, довольно быстро отвечают. В течение нескольких часов.

[KameradS]

Как правило, довольно быстро отвечают. В течение нескольких часов.

Тогда странно, почти сутки прошли уже...

[KameradS]

Вчера вечером уже после окончания рабочего дня ответили.

Провожу манипуляции, указанные специалистом лаборатории, и продолжаю надеяться на положительный результат.

О нем обязательно сообщу!

Изменено 1 марта, 2019 пользователем KameradS

[KameradS]

Получен ответ. Если в одном слове - увы!

Анализ предоставленных файлов показал, что они были зашифрованы троянской программой Trojan-Ransom.Win32.Crypmod. К сожалению, расшифровка файлов, на текущий момент, не возможна. Шифровальщик использует криптостойкие асимметричные алгоритмы. Публичные ключи (для шифрования) вшиты в сам шифровальщик, приватные ключи (для расшифровки) доступны только злоумышленникам.

Наши специалисты используют все имеющиеся возможности для того чтобы восстановить алгоритм шифрования и иметь возможность создавать ключи дешифровки (декрипторы), однако данный процесс довольно трудоемкий и может занять длительное время.

Сергей, мне очень жаль, что на данный момент, мы не можем предоставить Вам утилиту для расшифровки. Если информация в файлах со временем не утеряет своей актуальности, просьба сохранить их в удобном для Вас месте (облако, жесткий диск и т.д.) Я сохранил информацию по Вашему запросу и при успешном создании декриптора мы Вас обязательно уведомим.

В любом случае благодарю всех за помощь и сочувствие!

Тему можно закрыть.

Изменено 5 марта, 2019 пользователем KameradS