decr1pt Помогите с decr1pt@protonmail.com

[buzb52]

Добрый день.

Бух поймала шифровальщик который пожал часть документов типа .pdf в .zip.

Документы формата doc, xls какие то в зип какие то просто открываются не пойми как.

Базы 1с 8ки он оставил с тем же расширением но они не читабельны. Вроде как бы 1Сник откатил из копии не проверял.

Единственное что он сделал прогнался какими то антивирусниками и удалил всё на что он орал.

Лог будет пойже как комп привезут.

Прикладываю скрин окна README_XXXXX.txt.

Так же прикладываю сам архив с вирусом что бух скачала Акт сверки ФинАудитСервис.8hphfq.zip. Без пароля.

По сайту касперского архив определяется как Trojan.Win32.TorJok.lu

В архиве Выписки_шифр_файл(pass-1) пример зашифрованного файла и ещё файл .sig я так понимаю это от вируса остался.

А так же прикладываю архивы с файлами ZZZ которые вирус любезно за собой удалил.

Файлы ZZ подписаны по месту в каком каталоге были найдены.

 На остальные архивы пароль 1.

Акт сверки ФинАудитСервис.8hphfq.zip Выписки_шифр_файл(pass-1).7z ZZZZZZZZZZZZZZZZZZZ(В документах).7z ZZZZZZZZZZZZZZZZZZZ(В базах).7z

Изменено 12 августа, 2020 пользователем buzb52

[Sandor]

Здравствуйте!

 

30 минут назад, buzb52 сказал:

скрин окна README_XXXXX.txt

Сам файл тоже прикрепите.

[buzb52]

44 минуты назад, Sandor сказал:

Здравствуйте!

 

Сам файл тоже прикрепите.

Добрый день.

Прикреплю после 18 часов по москве.

Как привезут данный пк.

 

Забыл написать.

Файлы ZZ разные. По весу. И который был в базах он идёт как исполняемый.

Изменено 12 августа, 2020 пользователем buzb52

[buzb52]

Добрый вечер. 

Прикладываю все файлы о которых говорили ранее.

Посмотрел лог каспера который стоял на этом компе и выпал в осадок.

Он его типа обезвредил но всё равно вредонос продолжил работать и скачал и запустил файл AppdaterUpdate_1584554963.exe

avz_log.txt avz-log-all.7z README_hppcivoph3jc.txt Лог каспера.txt

[buzb52]

Эта ссылка по которой можно скачать данного зловреда...

[mike 1]

Может расскажите нам как так получилось, что установлена 17 версия антивируса, которая я думаю уже снята с поддержки?

 

+ Выполните правила 

 

[buzb52]

Данный пк не входит в мои обязанности.

До сегодняшнего дня я даже не знал об его существовании.

на нём стоял ещё аваст который я ушатал. т.к. ос нормально не загружалась.

Причёсывать его буду после восстановления справедливости.

[mike 1]

Нам для первичной диагностики необходимы логи FRST. 

[buzb52]

Добавил

FRST.txt Addition.txt

[Sandor]

Расшифровки этого вымогателя нет.

Систему будем чистить от мусора или планируете переустановку?

[buzb52]

Наверное пока чистить.

Как я заметил в папке юзера куда он извлекается на вин10 он создаёт 2 ключа. только не понял до конца это ключи генерации тора или ключи для шифрования файлов на пк.

как я понял он эти ключи отправляет на сервер хозяина. только вопрос если это те ключи, то на сколько они уникальны.

[Sandor]

Видны следы бывшей установки Kaspersky Internet Security 17.0.0

Нужно удалить с помощью утилиты в безопасном режиме.

 

Антивирус оставьте один, остальные удалите:

Цитата

Loaris Trojan Remover 3.0.92

Malwarebytes, версия 3.8.3.2965

 

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  
  HKU\S-1-5-21-1354578399-3504242563-3297069971-1002\...\MountPoints2: {847388af-e433-11e9-8642-806e6f6e6963} - "E:\start.exe" 
  HKU\S-1-5-21-1354578399-3504242563-3297069971-1002\...\MountPoints2: {9416fa65-b36b-11e9-85e4-3497f6e0391d} - "E:\start.exe" 
  HKU\S-1-5-21-1354578399-3504242563-3297069971-1002\...\MountPoints2: {9642f342-cd70-11ea-8825-3497f6e0391d} - "E:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-1354578399-3504242563-3297069971-1002\...\MountPoints2: {f0eab5bb-b15a-11e9-85da-3497f6e0391d} - "E:\start.exe" 
  FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  Task: {8E0047D9-6193-4D4F-848B-33865834B8FE} - \Optimize Start Menu Cache Files-S-1-5-21-1354578399-3504242563-3297069971-1001 -> No File <==== ATTENTION
  Task: {E458E2EC-6A75-4596-B958-52B360F3ED46} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [1660520 2020-02-27] (Avast Software s.r.o. -> Avast Software)
  CHR NewTab: Default ->  Active:"chrome-extension://pchfckkccldkbclgdepkaonamkignanh/layout/newtab.html"
  C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
  
  C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\adipnhhjfmoehhkepljbifddkobenooa
  
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  Reboot:
  End::

  
  
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
  

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

[kvet]

Всем привет!
Кто знает, удалось ли найти лекарство от этого шифровальщика?

[Sandor]

@kvet, здравствуйте!

Не нужно влезать в чужую тему.

Если нужна помощь, создайте свою и выполните Порядок оформления запроса о помощи

 

Тут закрыто.