Зашифровались файлы [Trojan-Ransom.Win32.Agent.ppc, Trojan-Ransom.Win32.Mor.y ]

[1ntangle]

Доброго времени суток!

Произошла неприятность. По почте пришло письмо с вложением, сотрудник открыл вложение и запустил исполняемый файл, соответственно произошла шифровка файлов. Выглядит следующим образом:

-файл с оригинальным названием и нулевым весом
-файл с названием оригинала и расширением .4a29 (имеет вес)
-текст с инструкцией в виде картинки (bmp), по оплате и почтовым ящиком, находится в каждой папке, где были зашифрованы файлы

Согласно инструкции высылаю логи.

Так же имеются образцы зашифрованного файла, файла-оригинала (пустышка), инструкция по оплате, само вложение, папки с названием "tempory", "wintemp_" с диска С, которые создались после запуска файла из вложения.По запросу вышлю необходимые данные.

[Info_bot]

Уважаемый(ая) 1ntangle, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[1ntangle]

Для уточнения - у меня терминальный сервер. Этот факт как то влияет на выполнение сканирования вышеупомянутой утилитой?

[mike 1]

Нет.

[1ntangle]

Логи

[mike 1]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  Folder: C:\Users\Администратор\Desktop\tempory
  Folder: C:\Users\Администратор\Desktop\wintemp_
  Folder: C:\ProgramData\TEMP

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[1ntangle]

Вот.

[mike 1]

C:\Users\Администратор\Desktop\wintemp_
C:\Users\Администратор\Desktop\tempory

Пришлите карантин согласно Приложения 1 правил по красной ссылке Прислать запрошенный карантин вверху темы

[1ntangle]

Сделал.

[mike 1]

С расшифровкой таких файлов помочь не сможем.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 14
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\администратор\desktop\tempory\systek.exe - Trojan-Ransom.Win32.Agent.ppc ( BitDefender: Gen:Variant.Kazy.305194, AVAST4: Win32:Malware-gen )
  2. c:\users\администратор\desktop\wintemp_\zap.bat - Trojan-Ransom.Win32.Mor.y