globeimposter 2.0 Еще один шифровальщик

26 апреля, 2019

Здравствуйте принесли посмотреть системный блок с заявленной неисправностью - не открываются файлы типа doc, xls, jpg. Загрузив систему и просмотрев папки с файлами увидел, что они имеют расширение .systems32x. Причем самое интересное, что вредоносная программа создала дубликаты также exe файлов, но оригиналы не удалила, т.е в папке может быть оригинальный файл с расширением exe, копия этого файла с расширением systems32x и сгенерированный файл с расширением .txt, где вымогатель, - автор вируса указывает почтовый адрес systems32x@gmail.com, @yahoo и т.п. и ключ, инструкции для пробной расшифровки, типа вышлите два файла размером не более 1 мегабайта.

Прикрепляю лог сделанный по инструкции https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]. Также могу выслать образцы зашифрованный файлов и текстового документа с интструкцией данной вредоносной программы. Т.к. данный компьютер используется в учебном заведении скорее всего заразу получили по почте.

CollectionLog-2019.04.26-08.51.zip

26 апреля, 2019

Здравствуйте!

Расшифровки этого типа вымогателя нет. Будет только очистка следов и рекламного мусора.

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Unity Web Player

Амиго

Кнопка "Яндекс" на панели задач

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.D0169387EB562C92B2D5', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\.D0169387EB562C92B2D5', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.D0169387EB562C92B2D5', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.D0169387EB562C92B2D5', '32');
 DeleteFile('C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\.D0169387EB562C92B2D5', '32');
 DeleteFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.D0169387EB562C92B2D5', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Прикрепите к следующему сообщению свежий CollectionLog.

26 апреля, 2019

KLAN-9969079151

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:

.D0169387EB562C92B2D5

_0.D0169387EB562C92B2D5

_1.D0169387EB562C92B2D5

Файлы переданы на исследование.

Вот еще прикрепляю повторный log

CollectionLog-2019.04.26-13.14.zip

26 апреля, 2019

Включён AVZPM

Настройки AVZ без необходимости менять не нужно. Отключите.

Далее:

Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

26 апреля, 2019

Вот, держите.

AdwCleanerS00.txt

26 апреля, 2019

Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
В меню Настройки включите дополнительно в разделе Базовые действия:
- Сбросить политики IE
- Сбросить политики Chrome
В меню Панель управления нажмите Сканировать.
По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

26 апреля, 2019

Применил и перезагрузил. Хозяева просят переустановить систему и желательно скорее т.к данный системник нужен для работы. Все равно огромное спасибо.

AdwCleanerC01.txt

AdwCleanerS01.txt

27 апреля, 2019

просят переустановить систему

Раз так, то и нет смысла продолжать.

globeimposter 2.0 Еще один шифровальщик

Рекомендуемые сообщения

axel2019

Sandor

axel2019

Sandor

axel2019

Sandor

axel2019

Sandor

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum