lbkut шифровальщик

[Алексей Бодун]

Здравствуйте.

Заразились шифровальщиком lbkut

Заражение произошло при открытии вложения письма.

Вложение было архивом, в котором был файл .scr

 

Прикладываю лог и архив с 3-мя файлами и текстом вымогателей

 

Скажите возможна ли расшифровка?

CollectionLog-2019.10.31-03.37.zip

lbkut.rar

[Sandor]

Здравствуйте!

 

возможна ли расшифровка?

Вероятность есть.

 

Пока дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Алексей Бодун]

Прикладываю файлы FRST и Addition

FRST.txt

Addition.txt

[akoK]

• Отключите до перезагрузки антивирус.

• Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-796679063-1323013751-2610025396-1007\...\Run: [hetvuEz] => C:\Users\Nata\ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ.TXT [1912 2019-10-30] () [File not signed]
Startup: C:\Users\Nata\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lrF9vlGPe5jUsi4K5MMPItMY24rU8yFaiZcb1iNx.lbkut [2018-04-30] () [File not signed]
Startup: C:\Users\Nata\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ.TXT [2019-10-30] () [File not signed]
2019-10-30 18:53 - 2019-10-30 18:53 - 000001912 _____ C:\Users\Nata\ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ.TXT
2019-10-30 15:29 - 2019-10-30 15:29 - 000001912 _____ C:\Users\Nata\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ.TXT
2019-10-30 15:26 - 2019-10-30 15:26 - 000001912 _____ C:\Users\Nata\Downloads\ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ.TXT
2019-10-30 15:26 - 2019-10-30 15:26 - 000001912 _____ C:\Users\Nata\Documents\ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ.TXT
2019-10-30 15:18 - 2019-10-30 18:53 - 000001912 _____ C:\Users\Nata\Desktop\ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ.TXT
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
AlternateDataStreams: C:\ProgramData\TEMP:728B799F [372]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:728B799F [372]
HKU\S-1-5-21-796679063-1323013751-2610025396-1007\...\StartupApproved\StartupFolder: => "ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ.TXT"
FirewallRules: [{AF129021-8D33-4B18-9AEE-378ACB8A1D8C}] => (Allow) C:\Users\Nata\AppData\Local\Temp\7zS620B.tmp\EasyInst64.exe No File
FirewallRules: [{185A65EC-8BFC-4C57-9A04-96400886A11B}] => (Allow) C:\Users\Nata\AppData\Local\Temp\7zS620B.tmp\EasyInst64.exe No File
FirewallRules: [{578574F8-BE1D-4056-9B05-1A7CB44F223D}] => (Allow) C:\Users\Nata\AppData\Local\Temp\7zS25E8\HPDiagnosticCoreUI.exe No File
FirewallRules: [{ADC28C9C-D1D0-4E1D-81C8-13528A9CEEAA}] => (Allow) C:\Users\Nata\AppData\Local\Temp\7zS25E8\HPDiagnosticCoreUI.exe No File
EmptyTemp:
Reboot:
End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).

• Запустите FRST (FRST64) от имени администратора.

• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

По поводу расшифровки, создайте запрос на расшифровку через личный кабинет. Результат сообщите здесь, пожалуйста.

Изменено 30 октября, 2019 пользователем akoK

[Алексей Бодун]

Прилагаю fix.log

Fixlog.txt