Троянец-шифровщик с почтой [email protected]

Здравствуйте.
Поймали троянец. В каждой папке на компьютере текстовый файл с содержанием:
"Все файлы на вашем пк зашифрованы!Для расшифровки файлов, вам необходимо написать на email: [email][email protected][/email]


Стоимость расшифровки файлов 6500 руб., спешите! Скоро цена будет больше!"


Ссылки на зашифрованные файлы:

[url]https://cloud.mail.ru/public/7Knw/P2cmYRxsc[/url]
[url]https://cloud.mail.ru/public/5A8Q/gdYBXPzNT[/url]
[url]https://cloud.mail.ru/public/7uBJ/Sirh5g5JT[/url]
[url]https://cloud.mail.ru/public/7Yrn/Tt6shbw58[/url]
[url]https://cloud.mail.ru/public/6zAe/b9BcRNr9Y[/url]

"Скрипт лечения/карантина и сбора информации для раздела "Помогите!" зависает при чтении файлов:
c:\ProgramData\HTC\HTCMediaHub\_mediaclient_temp.tmp
c:\Users\User\AppData\Local\Microsoft\Windows\WebCache\webCacheV01.tmp

В "футере" утилиты при этом прописан адрес папки: c:\Users\User\AppData\Local\Temp\WPDNSE\

Уважаемый(ая) [B]federikos[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Карантин AVZ отправить не могу, т.к. утилита зависает. Есть возможность отправить карантин утилиты CureIt!

Это дешифруется скорее всего. На поиск ключа уйдет какое-то время

Пока зачистим мусор

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\system32\s.exe','');
QuarantineFile('C:\Users\User\AppData\Local\fupdate\fupdate.exe','');
QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','');
QuarantineFile('C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe','');
QuarantineFile('C:\Users\User\AppData\Roaming\daemon2.exe','');
DeleteFile('C:\Users\User\AppData\Roaming\daemon2.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Daemon','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\lcudcceksy','command');
DeleteFile('C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Reimage Reminder','64');
DeleteFile('C:\Windows\system32\Tasks\ReimageUpdater','64');
DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','32');
DeleteFile('C:\Windows\system32\Tasks\fupdate','64');
DeleteFile('C:\Users\User\AppData\Local\fupdate\fupdate.exe','32');
DeleteFile('C:\Windows\system32\s.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.

[B][COLOR="Red"]Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи[/COLOR][/B]

Выполнил.

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.

отчеты готовы

Вспоминайте, что запускали перед появлением шифрования. Похоже попали на модифицированную версию шифратора.

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
2016-09-07 15:38 - 2016-09-07 15:40 - 00000000 ____D C:\rei
2016-09-07 15:38 - 2016-09-07 15:38 - 00001908 _____ C:\Users\Public\Desktop\PC Scan & Repair by Reimage.lnk
2016-09-07 15:38 - 2016-09-07 15:38 - 00000000 ____D C:\Users\Все пользователи\Reimage Protector
2016-09-07 15:38 - 2016-09-07 15:38 - 00000000 ____D C:\ProgramData\Reimage Protector
2016-09-07 15:38 - 2016-09-07 15:38 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair
2016-09-07 15:38 - 2016-09-07 15:38 - 00000000 ____D C:\Program Files\Reimage
2016-09-07 15:36 - 2016-09-07 15:39 - 00000140 _____ C:\Windows\Reimage.ini
AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [180]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:1CE11B51 [180]
Task: {9DE14F85-0C4A-45B9-9FF8-AF792AD77735} - \Reimage Reminder -> No File <==== ATTENTION
Task: {B589812D-3904-4EE1-B472-53C8151EB688} - \ReimageUpdater -> No File <==== ATTENTION
Task: {E4AF59AA-0023-40DB-9213-D73B2A34BEF8} - \fupdate -> No File <==== ATTENTION
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание, что будет выполнена [b]перезагрузка компьютера[/b].[/list]

Трудно вспомнить. Нужно, наверное, в первую очередь историю загрузок гугл хрома как-то просмотреть.
(Reimage Repair запускался уже после шифрования)

Подобрать ключ не получается. Потому и спрашиваю, что запускали

Прикрепляю записи журнала eset с угрозами, которые были обнаружены на ноутбуке в последнее время. Теоретически что-то отсюда могло попасть на зараженный пк через ЯндексДиск, флешку или почту.
Первая (самая новая) запись (о трояне BAT/Filecoder.b) появилась во время попыток расшифровки файлов утилитами касперского.

Eset в своем репертуаре )
Это не то

Может, незашифрованные оригиналы тех же файлов помогут при подборе ключа? Часть из них сохранилась благодаря облаку и отсутствию интернета.

Пришлите тогда оригиналы doc и docx файлов, шифрованные копии которых Вы предоставили в первом сообщении. Но это поможет скорее всего только подтвердить мою гипотезу о модификации оригинального кода шифровальщика

из тех, что в первом сообщении, есть только .doc

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Карантин или отчет CureIt никак не поможет найти источник проблем?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

почта себя немного странно вела перед шифровкой, не отправлялось письмо несколько раз подряд (одно из писем в приложении)
еще запускался файл sumprop.xls с макросами

Проверьте ЛС

Большое спасибо. Дешифровка пока проходит отлично, артефактов нет.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]