Coronavirus - Шифровальщик

[lom1k]

Добрый вечер!

Вчера вечером зашифровались файлы на рабочем компьютере, причем в течении дня все работало отлично, никакие "левые" файлы и программы не запускались, скорее всего где-то сидел все это время, ждал своего времени?!

Пару раз уходил сам на ввод пароля при входе, я не придал значения, думал может что винда дурит... потом оставил компьютер на некоторое время, вернулся а там "коронавирус".

Чуть позже могу приложить фотографии.

 

Пароль на архив с вирусом (virus_corona.zip) - 123

CollectionLog-2020.02.15-17.58.zip

FILES ENCRYPTED.txt

virus_corona.zip

[Sandor]

Здравствуйте!

 

Один из файлов Info.hta упакуйте в архив и прикрепите к следующему сообщению.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[lom1k]

Сделал

Info.hta.zip

Addition.txt

FRST.txt

[Sandor]

Вынужден огорчить, это очередная версия Crusis, расшифровки нет.

Будет только очистка следов и мусора. Пароль на RDP смените, скорее всего был сломан.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\...\Run: [C:\WINDOWS\System32\Info.hta] => C:\WINDOWS\System32\Info.hta [13919 2020-02-14] () [File not signed]
  HKLM\...\Run: [C:\Users\Алексей\AppData\Roaming\Info.hta] => C:\Users\Алексей\AppData\Roaming\Info.hta [13919 2020-02-14] () [File not signed]
  HKU\S-1-5-21-2916867580-2572117831-2763354424-1001\...\MountPoints2: {d949e88b-ec23-11e9-8255-b42e996ff2c4} - "D:\SISetup.exe" 
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-14] () [File not signed]
  Startup: C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-14] () [File not signed]
  2020-02-14 15:04 - 2020-02-14 15:04 - 000013919 _____ C:\WINDOWS\system32\Info.hta
  2020-02-14 15:04 - 2020-02-14 15:04 - 000013919 _____ C:\Users\Алексей\AppData\Roaming\Info.hta
  2020-02-14 15:04 - 2020-02-14 15:04 - 000000170 _____ C:\Users\Алексей\Desktop\FILES ENCRYPTED.txt
  2020-02-14 15:04 - 2020-02-14 15:04 - 000000170 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
  2020-02-14 15:04 - 2020-02-14 15:04 - 000000170 _____ C:\FILES ENCRYPTED.txt
  AlternateDataStreams: C:\Users\Алексей\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
  AlternateDataStreams: C:\Users\Алексей\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[lom1k]

Спасибо за помощь!

Хорошо что на компьютере ничего не хранится кроме некоторых папок, которые забекаплены, правда неделю назад (как чувстовал ), поэтому кое что пропадет, но все лучше чем ничего...

Сейчас значит буду переустанавливать ОС..

Fixlog.txt

[Sandor]

буду переустанавливать ОС

Это не обязательно, следов вредоноса больше нет.

 

Возьмите на заметку: Рекомендации после удаления вредоносного ПО