Поймал шифровальщика, помогите!

Printable View

12.01.2016, 15:12
Freelich

Вложений: 3

Поймал шифровальщика, помогите!

Доброго времени суток всем!

На днях поймал шифровальщика. Все документы, картинки и пр. стали иметь расширение - .fae191c6, а в каждой папке появился текстовый документ с содержанием, типа:

[COLOR=#ff0000]Здравствуйте, все ваши файлы зашифрованы, свяжитесь с нами для их восстановления.[/COLOR]
[COLOR=#ff0000]Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.[/COLOR]
[COLOR=#ff0000]
[/COLOR]
[COLOR=#ff0000]--------------------------------------------------------------[/COLOR]
[COLOR=#ff0000]
[/COLOR]
[COLOR=#ff0000]Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты:[/COLOR]
[COLOR=#ff0000]1) Загрузите 'Tor Browser for Windows', скачать можно тут [url]https://www.torproject.org/download/download-easy.html.en[/url][/COLOR]
[COLOR=#ff0000]2) Установите и запустите 'Tor Browser'[/COLOR]
[COLOR=#ff0000]3) Перейдите по ссылке 'http://3qo5aqjlesrudfm3.onion/?id=fae191c6&HashID=f1050e3a611c06b4d3f6fc9ef93a7a5d' в 'Tor Browser' - (ВНИМАНИЕ, САЙТ ДОСТУПЕН ТОЛЬКО ЧЕРЕЗ 'Tor Browser')[/COLOR]
[COLOR=#ff0000]4) Следуйте инструкциям на сайте[/COLOR]
[COLOR=#ff0000]
[/COLOR]
[COLOR=#ff0000]--------------------------------------------------------------[/COLOR]
[COLOR=#ff0000]
[/COLOR]
[COLOR=#ff0000]ID: fae191c6[/COLOR]
[COLOR=#ff0000]HashID: f1050e3a611c06b4d3f6fc9ef93a7a5d[/COLOR]

Собственно образцы зашифрованных файлов тут: [url]http://rghost.ru/7hq6GVxpk[/url]
Во вложениях прикрепил логи с AVZ и HijackThis.
NOD, кстати, нашел такие гадости в Temp: Win32/Kryptic.EKEJ, Win32/Kryptic.HQW, Win32/Kryptic.EKAH, Win32/Adware.Mobogenie.
Сможет кто помочь?
Спасибо!!!
12.01.2016, 15:14
Info_bot

Уважаемый(ая) [B]Freelich[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
13.01.2016, 20:35
thyrex

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Полученные в пп. 4 и 5 логи заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
14.01.2016, 10:47
Freelich

Вложений: 1

Доброе утро!

Спасибо за отзыв. Высылаю логи, как Вы просили.
14.01.2016, 21:51
thyrex

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
HKLM\...\Run: [] => [X]
HKU\S-1-5-21-1213593453-3948557630-4091476966-1385\...\Run: [EncrypterEpta] => C:\Users\starostenko_ve\AppData\Roaming\OdnUqnxVqtAcmfpq4n\encrypter.exe
HKU\S-1-5-21-1213593453-3948557630-4091476966-1385\...\Run: [MyDesktop] => C:\Users\starostenko_ve\AppData\Roaming\MyDesktop\qweeeCL.exe /killme_30 /restoreme_5 /url_hxxp://mpnl.ru/offers/uaby.csv /url2_hxxp://hello.limbbo.ru/offers/uaby.csv
C:\Users\starostenko_ve\AppData\Local\Temp\v0bdbsvy.dll
C:\Users\starostenko_ve\AppData\Roaming\OdnUqnxVqtAcmfpq4n
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении!
[list][*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
15.01.2016, 10:14
Freelich

Вложений: 1

Доброе утро!

fixlog в прикрепленных.
Спасибо!
15.01.2016, 20:50
thyrex

С расшифровкой не поможем
16.01.2016, 16:35
Freelich

Добрый день!

Очень жаль, но все равно большое спасибо!
16.01.2016, 17:33
mike 1

Вложений: 1

[B][COLOR="#FF0000"]Внимание![/COLOR][/B] Данный дешифратор предназначен только для пользователя [B]Freelich[/B]

Во избежание окончательной потери информации использовать данный дешифратор другим пострадавшим не рекомендуется

Перед использованием дешифратора рекомендуется сделать резервную копию всех зашифрованных файлов.

[URL="https://yadi.sk/d/C3BvfaUan5XG2"]Дешифратор[/URL]

Принцип работы с дешифратором:

1. Сохраните дешифратор в отдельную созданную папку.

2. Сохраните прикрепленное вложение в папку с дешифратором. Распакуйте архив с ключом. Запустите сам дешифратор и дождитесь окончания процесса работы дешифратора.
18.01.2016, 11:31
Freelich

Доброе утро!

У меня просто нет слов! Спасибо Вам огромное, все получилось!!!!!:shocked::):):):clapping::clapping:
18.01.2016, 12:06
mike 1

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в AVZ при наличии доступа в интернет:

[CODE]
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]