Вирус-шифровальщик *.xtbl

[Genplanist]

Здравствуйте, пожалуйста помогите, нарвался на шифровальщика.
Вирус работал часа 4. Зашифровать успел очень много, рабочие документы, семейный фотоархив, ещё много всего =(((

Файлы получают расширение xtbl
В корне дисков 10 штук readme-файлов, в каждом написано:

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
(не привожу, т.к. не уверен что им не могут воспользоваться злоумышленники)
на электронный адрес [email protected] или [email protected] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


и ниже то же самое на английском.
Пишу из под безопасного режима, при обычной загрузке системы вирус продолжает свою работу (судя по заторможенности работы и хрусту винчестера)

[Info_bot]

Уважаемый(ая) Genplanist, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DelBHO('{D5FEC983-01DB-414A-9456-AF95AC9ED7B5}');
 QuarantineFile('C:\Windows\UpdReg.EXE','');
 QuarantineFile('C:\Users\C523~1\AppData\Local\Temp\{E842A06E-E68C-42C8-8FE7-9C6513BEFB80}.exe','');
 QuarantineFileF('C:\Users\C523~1\AppData\Local\Temp\', '*.exe,*.dll,*.sys', false,'', 0, 0);
BC_ImportQuarantineList;
BC_Activate;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
Код:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Genplanist]

Скрипты выполнил, карантин загрузил.
Прикрепляю отчёты FRST.

Пожалуйста скажите, я правильно делаю что всё это запускаю из-под безопасного режима??
(Опасаюсь продолжения активности вируса)

Спасибо!

[SQ]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  HKLM-x32\...\Run: [] => [X]
  HKLM-x32\...\RunOnce: [{E842A06E-E68C-42C8-8FE7-9C6513BEFB80}] => cmd.exe /C start /D "C:\Users\C523~1\AppData\Local\Temp" /B {E842A06E-E68C-42C8-8FE7-9C6513BEFB80}.exe -accepteula -postboot -postad 1
  Toolbar: HKU\S-1-5-21-1949757899-4208592552-1834754624-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  FF Plugin: @microsoft.com/GENUINE -> disabled No File
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled No File
  CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - http://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - http://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx
  2015-07-08 02:05 - 2015-07-09 07:42 - 00000000 __SHD C:\Users\Все пользователи\Windows
  2015-07-08 02:05 - 2015-07-09 07:42 - 00000000 __SHD C:\ProgramData\Windows
  AlternateDataStreams: C:\ProgramData\Temp:A1EDB939
  AlternateDataStreams: C:\Users\Все пользователи\Temp:A1EDB939
  EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[Genplanist]

frst запустил, прикрепляю fixlog.txt

[mike 1]

Сделайте новые логи FRST.txt и Addition.txt из обычного режима.

[Genplanist]

Зашел в обычный режим, сделал логи повторно, прикрепляю.
Заметил сильную работу винчестера, очень частый "хруст".
Шифровальщик продолжает работу?

[mike 1]

Шифровальщика уже не видно.


ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  File: C:\Windows\System32\drivers\WPRO_41_2001.sys
  Task: {4795ADA4-59FE-4D47-9495-BC0FDF81C6E7} - \KMSAutoNet No Task File <==== ATTENTION

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Genplanist]

Запустил. Вот fixlog.txt Но винт всё равно очень напрягается. И комп заметно медленнее работает (чем было до заражения)

[mike 1]

Логи в порядке. С расшифровкой не поможем. Как вариант, http://virusinfo.info/showthread.php?t=156188

[Genplanist]

Ну да. Этот вариант к сожалению в моем случае бесполезен. Все точки восстановления уничтожены.
Касперского лицензию купил, но они сказали что ничем не могут помочь. Подскажите пожалуйста, как правильно себя вести при общении со злодеями, завести отдельную почту, сделать образы винтов и положить на полку, что ещё?
Или сто процентов что они возьмут деньги и ничего не расшифруют?

[mike 1]

Подскажите пожалуйста, как правильно себя вести при общении со злодеями, завести отдельную почту, сделать образы винтов и положить на полку, что ещё?

Свою основную почту я бы не светил, а так грубить им не стоит, а то могут и вовсе отказать в получении ключа и дешифратора. По современным меркам эти ребята не очень много просят около 5000 рублей, но могут запросить и до 8000 рублей.

[Genplanist]

Поросят 10. Прислали 2 расшифрованные фотки. То есть чаще если народ платит, то получает свои файлы обратно? И я тоже могу надеяться что заплатив смогу расшифровать файлы?

[mike 1]

Обычно после оплаты присылают дешифратор с ключом.

[Genplanist]

Да, и в моём тоже. Всё на месте вроде. Прислать вам?

[mike 1]

Другим дешифратор не поможет, а ключи для каждого пользователя будут уникальными, потому толку от такого дешифратора никакого.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 6
• В ходе лечения вредоносные программы в карантинах не обнаружены