Зашифровались файлы doc, xls, pdf, jpg. Вирус из письма "от прокуратуры"
Здравствуйте! Предыстория такова: девушке на работе пришло письмо якобы от прокуратуры с вложением. Она запаниковала и попыталась вложение открыть. В результате зашифровались все файлы по маске из темы, имена файлов изменились: ОТВЕТ ПО РЕКЛАМЕ.doc стал ОТВЕТ ПО РЕКЛАМЕ.doc.id-{BEFGJJLMOPQSSUVXXZABCEFGHJKLMOOQRTTV-10.07.2014 9@46@139565914}[email protected]. Она запустила полную проверку системы Microsoft Security Essentials. Он нашел какой-то троян и удалил его (я в организации приходящий админ и она сначала пыталась решить проблему сама). Название найденного трояна она не запомнила, когда я у них был времени не было копаться в логах mse, чтобы найти имя зловреда (если это критически важно, то найду). Никаких файлов с требованиями что-либо сделать для расшифровки нигде не появилось. Пробовал прогнать дешифраторами касперского XoristDecryptor и RectorDecryptor. RectorDecryptor ничего не расшифровал, XoristDecryptor сказал, что расшифровал много-много файлов, но они не открываются (нормально открылись лишь пара-тройка картинок). Пример зашифрованных файлов и расшифрованных в результате работы XoristDecryptor у меня есть.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Константин Моисеев, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Лог работы XoristDecryptor найдите на диске С и пришлите. Хотя я очень сомневаюсь, что именно эта утилита, а не RectorDecryptor, писала об удачной расшифровке файлов
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Лог работы XoristDecryptor найдите на диске С и пришлите. Хотя я очень сомневаюсь, что именно эта утилита, а не RectorDecryptor, писала об удачной расшифровке файлов
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gw64.sys','');
DeleteService('{55685567-4840-4a91-962b-49a412e9485a}w64');
SetServiceStart('{55685567-4840-4a91-962b-49a412e9485a}w64', 4);
StopService('{55685567-4840-4a91-962b-49a412e9485a}w64');
DeleteService('{55685567-4840-4a91-962b-49a412e9485a}Gw64');
SetServiceStart('{55685567-4840-4a91-962b-49a412e9485a}Gw64', 4);
StopService('{55685567-4840-4a91-962b-49a412e9485a}Gw64');
DeleteFile('C:\Windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gw64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Код:
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Простите, что так долго. Сначала сотрудница была в отпуске, потом я. Наконец, мы пересеклись и я смог выполнить Ваши рекомендации. Логи прикладываю, карантин отправил.
Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
По окончанию сканирования снимите галочки со следующих строк:
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашим файлам.
Внимание!!!
1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет
2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: