JS "зашифровал" файлы формата doc, pdf, zip и прочие

Printable View

01.09.2015, 11:12
pavelpro

Вложений: 1

JS "зашифровал" файлы формата doc, pdf, zip и прочие

Приветствую всех!

Помогите пожалуйста разобраться со злосчастным "шифровальщиком"

Файл прислали по почте, который девочка и запустила.

Зараза и зашифрованный ею docx в приложении

Так же зараза зашифровала pdf, jpg, zip и прочие файлы и архивы
01.09.2015, 11:13
Info_bot

Уважаемый(ая) [B]pavelpro[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
01.09.2015, 19:40
thyrex

[url]http://virusinfo.info/pravila.html[/url]
02.09.2015, 16:52
pavelpro

Вложений: 3

AVZ и hijackthis логи во вложении

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

вложение письма, содержащее зловещий JS
02.09.2015, 20:51
thyrex

[WARNING]Еще раз прилепите архив с вирусом, пойдете отдыхать[/WARNING]

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('c:\support\couponsupport.exe','');
QuarantineFile('C:\Windows\System32\BkarjHveBKgAAm.exe','');
QuarantineFile('C:\Users\yulia\AppData\Local\ConvertAd\ConvertAd.exe','');
DeleteFile('C:\Users\yulia\AppData\Local\ConvertAd\ConvertAd.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ConvertAd','command');
DeleteFile('C:\Windows\System32\BkarjHveBKgAAm.exe','32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
DeleteFile('c:\support\649636217.ini','32');
DeleteFile('C:\Windows\Tasks\couponsupport-S-649636217.job','64');
DeleteFile('c:\support\couponsupport.exe','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.

[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]
03.09.2015, 13:17
pavelpro

Вложений: 3

Прилагал зловредный файл, т.к. он содержит исходник вируса, по которому можно понять алгоритм шифрования. Прошу прощения, больше не буду.

Логи во вложении
04.09.2015, 22:52
thyrex

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, и его тоже прикрепите в следующем сообщении.
22.09.2015, 16:54
pavelpro

Вложений: 2

Извеняюсь что долго не отвечал. Не было доступа к компу.
23.09.2015, 20:51
thyrex

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://istart.webssearches.com/web/?type=ds&ts=1410940397&from=exp&uid=HitachiXHDS721050CLA660_JP1572FL1EHV3K1EHV3KX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://istart.webssearches.com/web/?type=ds&ts=1410940397&from=exp&uid=HitachiXHDS721050CLA660_JP1572FL1EHV3K1EHV3KX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://istart.webssearches.com/?type=hp&ts=1410940397&from=exp&uid=HitachiXHDS721050CLA660_JP1572FL1EHV3K1EHV3KX
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1410940397&from=exp&uid=HitachiXHDS721050CLA660_JP1572FL1EHV3K1EHV3KX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1410940397&from=exp&uid=HitachiXHDS721050CLA660_JP1572FL1EHV3K1EHV3KX&q={searchTerms}
Toolbar: HKU\S-1-5-21-318246820-3609032831-2240919362-1136 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\S-1-5-21-318246820-3609032831-2240919362-1136 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} - No File
R1 {2f0ff925-183b-4210-98f5-cb2ffd917f2b}Gw64; C:\Windows\System32\drivers\{2f0ff925-183b-4210-98f5-cb2ffd917f2b}Gw64.sys [44728 2014-09-16] (StdLib)
R1 {5eeb83d0-96ea-4249-942c-beead6847053}Gw64; C:\Windows\System32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw64.sys [44696 2014-09-18] (StdLib)
S1 BeTwinSystem; System32\Drivers\BeTwinSystemVS.sys [X]
S1 ttnfd; system32\drivers\ttnfd.sys [X]
2015-09-01 10:35 - 2015-09-01 10:35 - 00004794 _____ C:\Users\yulia\Downloads\о задолженности (Мебиус Телеком).zip
C:\Users\yulia\AppData\Local\Temp\20795805.exe
C:\Users\yulia\AppData\Local\Temp\66511155.exe
C:\Users\yulia\AppData\Local\Temp\77234609.exe
C:\Users\yulia\AppData\Local\Temp\88593906.exe
C:\Users\yulia\AppData\Local\Temp\zx_brwsr.exe
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении!
[list][*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
24.09.2015, 11:36
pavelpro

Вложений: 1

во вложении
25.09.2015, 18:56
thyrex

С расшифровкой не поможем
29.09.2015, 09:45
pavelpro

А по исходнику зловредного JS скрипта, не поможете?
29.09.2015, 14:43
thyrex

Нет
29.09.2015, 14:53
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]