scarab {Help557@gmx.de} шифровальщик

[chehov]

Доброго времени суток!
Ночью 04.08.2019 компьютер был зашифрован вирусом, все файлы имеют сейчас расширение *.{Help557@gmx.de}.exe
OS сейчас не загружается, загрузился с внешнего носителя, папки и файлы на месте и зашифрованы.
Просканировал компьютер на предмет удаленных файлов, ничего нет, следовательно он не спеша все зашифровал и перезагрузился.
Заражение произошло на этом компьютере,
Антивируса Касперский не было.

 

Сообщение от модератора SQ

Перенесено из темы {Help557@gmx.de} шифровальщик

 

Образцы зашифрованных файлов.7z

[SQ]

Здравствуйте,

Похоже это Scarab.
Создайте запрос на расшифровку.
 
Уточните пожалуйста, удается ли загрузить в безопасный режим?

[chehov]

Добрый день!

 

Запрос создал

 

Загрузиться не удается, пишет bootmgr is missing, все файла в корне диска зашифрованы

[chehov]

Пока нашел только один файл (во вложении)

пароль 3512

Выполнено повторное сканирование, ничего нет
Антивирус Kaspersky Endpoint Security версия 11.1.1.126

Изменено 6 августа, 2019 пользователем kmscom
удалено вредоносное вложение

[kmscom]

вредоносное вложение Образец файла eset.exe.Help557@gmx.de.7z удалено

 

[chehov]

Здравствуйте!

Удалось загрузить в безопасный режим и в обычном режиме

 

 

Похоже это Scarab.

Создайте запрос на расшифровку.

 

Уточните пожалуйста, удается ли загрузить в безопасный режим?

[SQ]

Уточните пожалуйста, вам что-то ответили по созданной Вами заявке?

 

Можете собрать следующий лог?

 

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".

  

• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[chehov]

Просканировал утилитой Каspersky Virus Removal Tool Версия 15.0.19.0[/size]

Обнаружен файл зараженный (rdpwrap.dll)[/size]

 

Просканировал утилитой Каspersky Virus Removal Tool Версия 15.0.19.0[/size]

Обнаружен файл зараженный (rdpwrap.dll)[/size]

 

 

Уточните пожалуйста, вам что-то ответили по созданной Вами заявке?

Пока не ответили

 

 

Можете собрать следующий лог?

Могу, позже

Просканировал утилитой Каspersky Virus Removal Tool Версия 15.0.19.0[/size]

Обнаружен файл зараженный (rdpwrap.dll)[/size]

 

Просканировал утилитой Каspersky Virus Removal Tool Версия 15.0.19.0[/size]

Обнаружен файл зараженный (rdpwrap.dll)[/size]

 

 

Уточните пожалуйста, вам что-то ответили по созданной Вами заявке?

Пока не ответили

 

 

Можете собрать следующий лог?

Могу, позже

Пароль на архив 3512

[SQ]

Согласно скринам, это не вирус (not-a-virus:*) пожалуйста не прикладывайте вредоносное ПО к сообщениям.

[chehov]

Хорошо, извиняюсь

 

Согласно скринам, это не вирус (not-a-virus:*) пожалуйста не прикладывайте вредоносное ПО к сообщениям.

Addition.txt

FRST.txt

Изменено 6 августа, 2019 пользователем SQ
удалил чрезмерное цитирование.

[SQ]

Очень много файлов пошифровал системных из-за этого возникли у вас проблемы с загрузкой ОС.

 

На данный момент могу предложить только зачистку мусора. Вам необходимо пождать ответа от тех. поддержки ЛК касаемо расшифровки.

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-2206163494-3117099904-2618562288-1000\...\Run: [nOQEcqLp] => C:\Users\User\!!! RESTORE YOUR FILES !!!.TXT [752 2019-08-04] () [File not signed]
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\!!! RESTORE YOUR FILES !!!.TXT [2019-08-04] () [File not signed]
  Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!! RESTORE YOUR FILES !!!.TXT [2019-08-04] () [File not signed]
  Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!! RESTORE YOUR FILES !!!.TXT [2019-08-04] () [File not signed]
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!! RESTORE YOUR FILES !!!.TXT [2019-08-03] () [File not signed]
  Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!! RESTORE YOUR FILES !!!.TXT [2019-08-04] () [File not signed]
  Startup: C:\Users\User2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!! RESTORE YOUR FILES !!!.TXT [2019-08-04] () [File not signed]
  2019-08-04 02:38 - 2019-08-04 02:38 - 000918946 _____ C:\Users\User\nOQEcqLp.bmp
  2019-08-04 02:38 - 2019-08-04 02:38 - 000000752 _____ C:\Users\User2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:38 - 2019-08-04 02:38 - 000000752 _____ C:\Users\User2\AppData\Roaming\Microsoft\Windows\Start Menu\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:37 - 2019-08-04 02:37 - 000000752 _____ C:\Users\User2\AppData\Local\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:37 - 2019-08-04 02:37 - 000000752 _____ C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:37 - 2019-08-04 02:37 - 000000752 _____ C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:36 - 2019-08-04 02:36 - 000000752 _____ C:\Users\user1\AppData\Local\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\Users\User\AppData\Local\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\Users\Default\AppData\Local\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\Users\Default User\AppData\Local\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\ProgramData\Microsoft\Windows\Start Menu\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\Users\Все пользователи\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\Users\User2\Downloads\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\Users\User2\Documents\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\Users\User2\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\Users\user1\Downloads\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\Users\user1\Documents\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\Users\user1\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\ProgramData\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:28 - 2019-08-04 02:38 - 000000752 _____ C:\Users\User\Desktop\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:28 - 2019-08-04 02:38 - 000000752 _____ C:\Users\User\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\User\Downloads\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\User\Documents\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Public\Downloads\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Public\Documents\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Public\Desktop\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Public\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Default\Downloads\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Default\Documents\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Default\Desktop\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Default\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Default User\Downloads\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Default User\Documents\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Default User\Desktop\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:27 - 2019-08-04 02:27 - 000000752 _____ C:\Program Files (x86)\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:26 - 2019-08-04 02:26 - 000000752 _____ C:\Program Files\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:26 - 2019-08-04 02:26 - 000000752 _____ C:\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-03 23:08 - 2019-08-03 23:08 - 000000752 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-03 23:08 - 2019-08-03 23:08 - 000000752 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-03 23:08 - 2019-08-03 23:08 - 000000752 _____ C:\Users\User\AppData\Roaming\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-03 23:08 - 2019-08-03 23:08 - 000000000 ____D C:\Users\User\AppData\Roaming\Process Hacker 2
  2019-08-04 02:26 - 2019-08-04 02:26 - 000000752 _____ () C:\Program Files\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:27 - 2019-08-04 02:27 - 000000752 _____ () C:\Program Files (x86)\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-03 23:08 - 2019-08-03 23:08 - 000000752 _____ () C:\Users\User\AppData\Roaming\!!! RESTORE YOUR FILES !!!.TXT
  2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ () C:\Users\User\AppData\Local\!!! RESTORE YOUR FILES !!!.TXT
  End::
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[chehov]

Файл лог

Fixlog.txt

[SQ]

На этом все, на данный момент пока нет публичных решений. Ожидайте ответа от ЛК, если ранее создали заявку по расшифровки.

[chehov]

Заявка создана, ждем ответа.

Спасибо!

[Sandor]

Заявка создана

Результат сообщите здесь тоже, пожалуйста.