Зашифрованы файлы [email protected], id:grib

Пришло письмо на почту якобы от судебных приставов со ссылкой, перенаправляющей в конечном итоге на zip файл. Архив скачали, распаковали, внутри файл scr, запустили. Ну, дальше понятно.

Что мы имеем в симптомах:
1. На рабочем столе картинка с текстом: "твои файлы зашифрованы, если они тебе нужны пиши мне на почту [email][email protected][/email]. Ваш id grib сообщите его на почту без него возврат файлов будет затруднителен." Все документы не открываются.
2. В автозагрузке файл "информер.txt" с текстом: "для возврата файлов, сообщите это слово: grib на почту: [email][email protected][/email]"
3. В папке C:\Program files (x86) папка "Судебные Приставы РФ". Внутри папка "информационный бюллетень". Внутри файлы mmm.bat и update_kor.exe
4. В папке Мои документы злодейская картинка для рабочего стола ttt.jpg.
5. В папке C:\Users\<Пользователь>\AppData\Local файлы winrar.exe и winrar.rar.

От себя:
В попытках открыть письмо сотрудники запускали злодея на всех доступных машинах. Любопытно, что полный апокалипсец наступил только на одной. Всего машин было три:
1. Win7x64, COMODO Antivirus (без sandbox), машинка мощная - Апокалипсец, в файле winrar.rar одна строчка.
2. WinXP, COMODO Antivirus (без sandbox),машинка слабая - Полный набор злодейских файлов, но документы целы (возможно не все, но пока шифрованных не нашёл (не успел зашифровать???)), в файле winrar.rar длинный список (очередь???).
3. Win8x64, AVG Free, машинка мощная - от злодея только информер.txt. Больше никаких признаков беды.

Все "симптомы" здесь: [URL]https://yadi.sk/d/Pn3KXb1AVBARf[/URL]
Образцы зашифрованных файлов здесь: [URL]https://yadi.sk/d/al8DbV8RVBAGG[/URL]
Есть архив с самим этим вирусом в шифрованном и нешифрованном виде: [URL]https://yadi.sk/d/UnB1RIIzVBCSg[/URL]
Логи: [ATTACH]481586[/ATTACH]; [ATTACH]481587[/ATTACH]
Помогите, пожалуйста. Очень документов хочется...:cray:

Уважаемый(ая) [B]drlasarus[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте!

Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Users\User\AppData\Local\winrar.exe','');
DeleteFile('C:\Users\User\AppData\Local\winrar.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','winrar');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].

Новые логи:
[ATTACH]481629[/ATTACH], [ATTACH]481630[/ATTACH], [ATTACH]481631[/ATTACH]

Я так понимаю, в quarantine.zip должен был оказаться winrar.exe? Этого не произошло, поскольку я его ещё вчера придушил. Он есть в наборе "симптомов". Если я его сам в quarantine.zip засуну и пришлю, нормально будет?

UPD Упаковано c паролем и отправлено.

[QUOTE]Я так понимаю, в quarantine.zip должен был оказаться winrar.exe? Этого не произошло, поскольку я его ещё вчера придушил. Он есть в наборе "симптомов". Если я его сам в quarantine.zip засуну и пришлю, нормально будет?[/QUOTE]
Да.

[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B].[*]По окончанию сканирования снимите галочки со следующих строк:
[CODE]
Папка Найдено : C:\Users\User\AppData\Local\Mail.Ru
Папка Найдено : C:\Users\User\AppData\Roaming\Mail.Ru
Папка Найдено : C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru
Значение Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [MailRuUpdater]
[/CODE][*] Нажмите кнопку [B]"Clean"[/B] и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].

Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].

Новый лог: [ATTACH]481708[/ATTACH]

Лог в порядке. Дешифратором для этого id пока никто не поделился.

Понятно. Спасибо за помощь.

[INFORMATION]

Скачайте архив с [URL="http://rghost.ru/56959373"]EsetFileCoderWCleaner[/URL]. Распакуйте его и сохраните [B][COLOR="#0000CD"]в корень диска С[/COLOR][/B].

В командной строке введите:
[code]C:\ESETFilecoderWCleaner.exe /b C:\[/code]

[B][COLOR="#FF0000"]Внимание!!![/COLOR][/B]
1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита делает архивные копии зашифрованных файлов

2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались[/INFORMATION]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]0[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]