Coronavirus

[Grecener]

Добрый день, случилась такая же беда, что и у Lom1k.

Помогите пожалуйста чем можно.

Сделал все как описано ранее, прикладываю фалы, сделано на зараженной машине. 

 

Сообщение от модератора Mark D. Pearlstone

Перемещено из темы.

FRST.txt

Addition.txt

info.hta.zip

[thyrex]

Увы, с расшифровкой помочь не сможем. Будет только зачистка мусора, в т.ч. и до сих пор активного шифратора.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [1corona.exe] => C:\Windows\System32\1corona.exe [94720 2020-02-14] () [File not signed]
C:\Windows\System32\1corona.exe
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13919 2020-02-16] () [File not signed]
HKLM\...\Run: [C:\Users\dostyp\AppData\Roaming\Info.hta] => C:\Users\dostyp\AppData\Roaming\Info.hta [13919 2020-02-14] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-16] () [File not signed]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-16] () [File not signed]
Startup: C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-16] () [File not signed]
C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
Startup: C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-16] () [File not signed]
Startup: C:\Users\dostyp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-14] () [File not signed]
C:\Users\dostyp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
Startup: C:\Users\dostyp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-14] () [File not signed]
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
2020-02-16 17:22 - 2020-02-16 17:22 - 000094720 _____ C:\Users\Dmitriy\AppData\Roaming\1corona.exe
2020-02-16 17:22 - 2020-02-16 17:22 - 000013919 _____ C:\Users\Dmitriy\AppData\Roaming\Info.hta
2020-02-14 19:02 - 2020-02-16 17:22 - 000013919 _____ C:\Windows\system32\Info.hta
2020-02-14 19:02 - 2020-02-14 19:02 - 000013919 _____ C:\Users\dostyp\AppData\Roaming\Info.hta
2020-02-14 19:01 - 2020-02-16 17:22 - 000000170 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-02-14 19:01 - 2020-02-16 17:22 - 000000170 _____ C:\FILES ENCRYPTED.txt
2020-02-14 19:01 - 2020-02-14 19:01 - 000000170 _____ C:\Users\dostyp\Desktop\FILES ENCRYPTED.txt
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
C:\Users\dostyp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
C:\Users\Dmitriy\AppData\Roaming\1corona.exe
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Grecener]

Скажите пожалуйста, а бывает что появляется ключ для расшифровки со временем? 

Fixlog.txt

Изменено 16 февраля, 2020 пользователем Grecener

[thyrex]

Ключи от ранних версий этого шифратора появились только после слива их самими злоумышленниками. Но это было уже очень давно.

[Grecener]

Добрый день! Спасибо за помощь, зараженный комп ожил и перестал шифровать все что видел, у меня в сети 8 компьютеров, зашифрованные файлы обнаружились на все, в основном в папке c\users\publik, но один комп пострадал глобально, зашифровано почти все! Посмотрите пожалуйста файлы отчета с этого второго компьютера. заранее спасибо большое.

Addition.txt

FRST.txt

info.hta.zip

[thyrex]

Тут только мусор зачистим.
 

Амиго
Кнопка "Яндекс" на панели задач
Менеджер браузеров

 

удалите через Установку программ.

1. Выделите следующий код:

Start::
CreateRestorePoint:
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {1E5E63E4-4F9B-482F-B9F7-98C284683994} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.