Вирус зашифровал файлы (AES256) [Trojan.VBS.Agent.su ]

[Александра В.]

После скачивания программы интернете в браузере при его открытии открываются левые вкладки. Так продолжалось пару дней, сегодня в определенное время вирус начал зашифровывать файлы (изображения, все виды документов, музыку) в тип AES256. На рабочем столе появился ярлык "Онлайн-консультант".
Также в каждой папке с зашифрованным файлом находится txt с названием "Внимание!Откройте меня" и содержанием "Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.


Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты.
TOR: https://www.torproject.org/ | Видео инструкция: http://youtu.be/43feBLwHzn0
url_1: http://y6kpyefykdvswxps.onion:4567/pay.html
url_2: http://gi3ruskskqzff2rw.onion:4567/pay.html
HashKey: 849e0fc0aac06ba03a665995d17bc62d
ID: 10927"

По совету друга (у которого была подобная проблема с браузером) установила программу Malwarebytes Anti-Malware, вирус перестал орудовать (а именно зашифровывать). После сканирования данной программой и перезагрузки в браузере все равно открываются посторонние вкладки.

Хотелось бы восстановить зашифрованные файлы и избавиться от этих проблем
Прикрепляю логи.

[Info_bot]

Уважаемый(ая) Александра В., спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Admin\appdata\roaming\funspace\shadow\funspace.update\funspace.update.process.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Roaming\runWIN\Update.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Local\Microsoft\Windows\system.vbs','');
 DeleteFile('C:\Program Files\Google\Chrome\Application\chrome.exe.bat','32');
 DeleteFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','32');
 DeleteFile('C:\Program Files\baidu\BindEx.exe','32');
 DeleteFile('C:\Users\Admin\AppData\Local\Microsoft\Windows\system.vbs','32');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
 DeleteFile('C:\Users\Admin\AppData\Roaming\runWIN\Update.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NewLoadSystemWIN32','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RuningWIN32','command');
 DeleteFile('C:\Windows\system32\Tasks\SystemScript','32');
 DeleteFile('C:\Users\Admin\appdata\roaming\funspace\shadow\funspace.update\funspace.update.process.exe','32');
DeleteFileMask('C:\Users\Admin\AppData\Roaming\runWIN', '*', true);
DeleteDirectory('C:\Users\Admin\AppData\Roaming\runWIN');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT

[Александра В.]

Файл карантина закачала
"Результат загрузки

Файл сохранён как 141007_155829_virusinfo_autoquarantine_54340da59d8 9c.zip
Размер файла 491273
MD5 bd8b4867c42b45e7f4b514c721b85f1d
Файл закачан, спасибо!"

[thyrex]

Вас просили прислать карантин, а не автокарантин

Пофиксите в HiJack

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://1kanal.org/?src=hp1

Удалите файл

C:\Windows\system32\drivers\BDEnhanceBoost.sys

Удалите папки

Код:

C:\Users\Admin\AppData\Roaming\Mail.RU NewGamesT
C:\Users\Admin\AppData\Roaming\Microsoft DB
C:\Users\Admin\AppData\Roaming\Baidu
C:\Program Files\Common Files\Baidu
C:\ProgramData\Baidu
C:\Program Files\baidu
C:\Users\Admin\AppData\Roaming\GemWare
C:\gmr_scripts
C:\extensions
C:\Users\Admin\AppData\Roaming\ICL

[Александра В.]

Там, где в правилах сказано искать карантин, ничего нет.
Следующие пункты сделала

[mike 1]

Пришлите зашифрованный doc файл и несколько картинок.

[Александра В.]

https://cloud.mail.ru/public/b365940...D0%BA%D0%B0%2F

[mike 1]

Увы, но с расшифровкой не сможем помочь.

[Александра В.]

Ладно. Спасибо большое и на том!
Просто из любопытства. Вы всех в подобных темах просите прикрепить файлы зашифрованные. Вам удалось чьи-то расшифровать? И если нет, то зачем просите?

[thyrex]

Вы всех в подобных темах просите прикрепить файлы зашифрованные

Не во всех. Появилась утилита от Лаборатории Касперского, теперь сразу советуем пробовать ее самостояятельно.

Вам удалось чьи-то расшифровать?

Для этого шифровальщика если 3-4 исцеленных

И если нет, то зачем просите?

Для проверки возможности расшифровки. В остальном смотреть первый ответ в этом сообщении

[Александра В.]

Теперь понятно. Я так понимаю, шифр разный для каждого случая?
И ещё вопрос. Если есть зашифрованный файл и аналогичный ему, то есть с тем же содержанием,можно узнать шифр и расшифровать все файлы. Вы можете это сделать?

[mike 1]

Шифр одинаковый у всех, а вот ключи у всех разные. Будут ли добавлены новые ключи в утилиту ЛК я не знаю.

[thyrex]

Если есть зашифрованный файл и аналогичный ему, то есть с тем же содержанием,можно узнать шифр и расшифровать все файлы

Кто сказал, что такое возможно? Без шансов

[mike 1]

Информация

Внимание! Данный дешифратор предназначен только для пользователя Александра В.
Во избежание окончательной потери информации использовать данный дешифратор другим пострадавшим не рекомендуется

Перед использованием дешифратора рекомендуется сделать резервную копию всех зашифрованных файлов.

Дешифратор

Принцип работы с дешифратором:

1. Сохраните дешифратор в отдельную созданную папку.

2. Сохраните прикрепленное вложение в папку с дешифратором. Распакуйте архив с ключом. Запустите сам дешифратор и дождитесь окончания процесса работы дешифратора.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\admin\appdata\local\microsoft\windows\sys tem.vbs - Trojan.VBS.Agent.su ( DrWEB: Trojan.Ormes.9, AVAST4: VBS:AutoRun-CS [Trj] )