KameradS 0 Опубликовано 27 февраля, 2019 Share Опубликовано 27 февраля, 2019 (изменено) Доброго дня!Компьютер заразился шифровальщиком trojan.encoder.27210.Причина и источник заражения не известен, подозреваем выполнение постороннего приложения пользователемс постороннего носителя или из сети. Троян зашифровал все файлы doc, docx, xls, xlsx, прочие файлы MS Office, все графические форматы, такие как JPG, TIFF, PNGи прочие, расположенные на пораженной машине. Заражение исполняемых exe-файлов не произошло. Полностью произвели действия, как было указано в теме "Порядок оформления запроса о помощи", прикладываю лог и несколько файлов, зашифрованных вирусом. Благодарю заранее за помощь! CollectionLog-2019.02.27-09.50.zip затопление квартиры.docx Меню обед и полдник(ГПД ) 2017 г..xls контракт на гпд январь-май.doc Изменено 27 февраля, 2019 пользователем KameradS Цитата Ссылка на сообщение Поделиться на другие сайты
KameradS 0 Опубликовано 27 февраля, 2019 Автор Share Опубликовано 27 февраля, 2019 От себя могу добавить, что в нашей организации установлено 190 лицензий продукта Kaspersky endpoint security, и на пораженной машине так же установлен этот продукт, который всегда своевременно обновляется. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 27 февраля, 2019 Share Опубликовано 27 февраля, 2019 Здравствуйте! Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RebootWindows(false); end. Компьютер перезагрузится. Если есть текстовый (или htm) файл с требованием выкупа, упакуйте его в архив и прикрепите к следующему сообщению. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
KameradS 0 Опубликовано 27 февраля, 2019 Автор Share Опубликовано 27 февраля, 2019 Скрипт выполнен, машина, как Вы и писали, тут же перезагрузилась. После этого визуальных изменений не обнаружили. Текстовый файл с требованием выкупа, который появился в любой папке, содержащий любой из зашифрованных документов, упакован в ZIP и прикреплен к этому сообщению, как Вы и просили. Благодарим заранее за помощь! YOUR FILES ARE ENCRYPTED.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 27 февраля, 2019 Share Опубликовано 27 февраля, 2019 Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. + Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
KameradS 0 Опубликовано 27 февраля, 2019 Автор Share Опубликовано 27 февраля, 2019 Процедуру провел буквально по пунктам, как Вы и говорили. Получил ссылку: https://virusinfo.info/virusdetector/report.php?md5=77C8F71130F8492192F3BA092B1E5797 MD5 карантина: 77C8F71130F8492192F3BA092B1E5797 Скачал утилиту Farbar***, запустил именно ту, которая соответствует разрядности пораженной системе, просканировал систему, получил файлы, которые Вы просили прикрепить к своему следующему сообщению. Что я и делаю. Благодарю за инструкции, надеюсь, мои действия верные и помогут исправить ситуацию. FRST.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 27 февраля, 2019 Share Опубликовано 27 февраля, 2019 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: GroupPolicyScripts: Restriction <==== ATTENTION CHR HKU\S-1-5-21-3292416752-4129641791-2326513281-2219\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-3292416752-4129641791-2326513281-2219\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bobeehhgpnppdghmfffdjadmbjbaeeod] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-3292416752-4129641791-2326513281-2219\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-3292416752-4129641791-2326513281-2219\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-3292416752-4129641791-2326513281-2219\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-3292416752-4129641791-2326513281-2219\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-3292416752-4129641791-2326513281-2219\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx 2018-02-08 15:08 - 2017-08-11 18:20 - 001314008 _____ (Mail.Ru) C:\Users\sirotina_gi\AppData\Local\Temp\ae6b-280c-5344-afac.exe 2016-06-10 16:03 - 2016-06-10 16:04 - 048920808 _____ (Mail.Ru) C:\Users\sirotina_gi\AppData\Local\Temp\AmigoDistrib.exe 2016-08-04 09:02 - 2018-01-15 10:35 - 055341560 _____ (Mail.Ru) C:\Users\sirotina_gi\AppData\Local\Temp\amigo_setup.exe 2018-02-08 15:08 - 2017-08-11 18:20 - 001314008 _____ (Mail.Ru) C:\Users\sirotina_gi\AppData\Local\Temp\c386-c00d-819b-a4d3.exe 2017-08-21 08:33 - 2017-08-11 18:20 - 001314008 _____ (Mail.Ru) C:\Users\sirotina_gi\AppData\Local\Temp\f66d-8cd9-318f-d1a8.exe 2016-06-10 16:03 - 2016-06-01 16:14 - 005873880 _____ (Mail.Ru) C:\Users\sirotina_gi\AppData\Local\Temp\MailRuUpdater.exe 2016-09-05 09:02 - 2017-04-14 19:21 - 004127960 _____ (Mail.Ru) C:\Users\sirotina_gi\AppData\Local\Temp\mrutmp.exe Task: {B6B9F787-427D-4C61-8D1D-F354BBDCBC5F} - System32\Tasks\MailRuUpdater => C:\Users\sirotina_gi\AppData\Local\Mail.Ru\MailRuUpdater.exe (LLC Mail.Ru -> Mail.Ru) <==== ATTENTION Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
KameradS 0 Опубликовано 27 февраля, 2019 Автор Share Опубликовано 27 февраля, 2019 Отключили антивирус, выделили и скопировали код, представленный Вами (проверили даже содержимое буфера обмена). Запустили FRST от администратора, нажали FIX один раз, получили лог, который прикрепляю к этому сообщению. Компьютер перезагрузился автоматически, как Вы и говорили. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 27 февраля, 2019 Share Опубликовано 27 февраля, 2019 Создайте запрос на расшифровку через Company Account. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
KameradS 0 Опубликовано 27 февраля, 2019 Автор Share Опубликовано 27 февраля, 2019 Создал, благодарю! https://companyaccount.kaspersky.com/request/view/SR36B4DB409C6B45B9AC725C51C3ADA0CA Цитата Ссылка на сообщение Поделиться на другие сайты
KameradS 0 Опубликовано 28 февраля, 2019 Автор Share Опубликовано 28 февраля, 2019 Скажите, пожалуйста, а в течении какого времени примерно отвечают сотрудники портала, где расположен мой официальный запрос в Kaspersky Company Account? Обращаюсь впервые, создал аккаунт, зарегистрировал корпоративный ключ. Благодарю! Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 28 февраля, 2019 Share Опубликовано 28 февраля, 2019 Как правило, довольно быстро отвечают. В течение нескольких часов. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
KameradS 0 Опубликовано 28 февраля, 2019 Автор Share Опубликовано 28 февраля, 2019 Как правило, довольно быстро отвечают. В течение нескольких часов. Тогда странно, почти сутки прошли уже... Цитата Ссылка на сообщение Поделиться на другие сайты
KameradS 0 Опубликовано 1 марта, 2019 Автор Share Опубликовано 1 марта, 2019 (изменено) Вчера вечером уже после окончания рабочего дня ответили. Провожу манипуляции, указанные специалистом лаборатории, и продолжаю надеяться на положительный результат. О нем обязательно сообщу! Изменено 1 марта, 2019 пользователем KameradS 1 Цитата Ссылка на сообщение Поделиться на другие сайты
KameradS 0 Опубликовано 5 марта, 2019 Автор Share Опубликовано 5 марта, 2019 (изменено) Получен ответ. Если в одном слове - увы! Анализ предоставленных файлов показал, что они были зашифрованы троянской программой Trojan-Ransom.Win32.Crypmod. К сожалению, расшифровка файлов, на текущий момент, не возможна. Шифровальщик использует криптостойкие асимметричные алгоритмы. Публичные ключи (для шифрования) вшиты в сам шифровальщик, приватные ключи (для расшифровки) доступны только злоумышленникам.Наши специалисты используют все имеющиеся возможности для того чтобы восстановить алгоритм шифрования и иметь возможность создавать ключи дешифровки (декрипторы), однако данный процесс довольно трудоемкий и может занять длительное время.Сергей, мне очень жаль, что на данный момент, мы не можем предоставить Вам утилиту для расшифровки. Если информация в файлах со временем не утеряет своей актуальности, просьба сохранить их в удобном для Вас месте (облако, жесткий диск и т.д.) Я сохранил информацию по Вашему запросу и при успешном создании декриптора мы Вас обязательно уведомим. В любом случае благодарю всех за помощь и сочувствие! Тему можно закрыть. Изменено 5 марта, 2019 пользователем KameradS 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.