Шифровальщик Troyan-Dowloader.Script.Generic

[Alekseeva_85]

4 августа 2017 произошло заражение шифровальщиком Troyan-Dowloader.Script.Generic при открытии письма с текстом на бухгалтерскую тему. После этого все файлы (ориентировочно 1000 файлов) перестали быть доступны. Файлы школьной документации. Просим помощи в расшифровки файлов

Вложения:
- Лог файла утилиты АVZ
- два зараженных Word файла
- один не зараженный файл Word (из зараженных файлов)
Секретарь гимназии № 12 г. Омска
[email protected]

[Info_bot]

Уважаемый(ая) Alekseeva_85, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DelBHO('{15DEE173-1BE9-4424-81E0-58A87076E9B1}');
 QuarantineFile('D:\Documents and Settings\Admin\Local Settings\Application Data\lcoupon\config.json','');
 SetServiceStart('BDArKit', 4);
 DeleteService('4587D103E5A80EA4');
 DeleteService('4586458B1D2ACDA4');
 DeleteService('BDArKit');
 DeleteFile('D:\Program Files\Baidu\BaiduSd\2.1.0.3086\BDMNet.dll','32');
 DeleteFile('D:\Program Files\Baidu\BaiduSd\2.1.0.3086\websafe\WebMonBHO.dll','32');
 DeleteFile('D:\Program Files\Baidu\BaiduSd\2.1.0.3086\websafe\websafe.dll','32');
 DeleteFile('D:\Program Files\Common Files\Baidu\BaiduHips\1.0.0.667\bd0001.dll','32');
 DeleteFile('D:\WINDOWS\system32\DRIVERS\BDArKit.sys','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Schedule');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baidu');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','lcoupon');
 DeleteFile('D:\Documents and Settings\Admin\Local Settings\Application Data\lcoupon\config.json','32');
 DeleteFile('D:\WINDOWS\Tasks\newSI_605.job','32');
 DeleteFile('D:\WINDOWS\Tasks\newSI_611.job','32');
 DeleteFile('D:\WINDOWS\Tasks\Soft installer.job','32');
 DeleteFile('D:\WINDOWS\Tasks\SystemMonitor2016.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к сообщению НОВЫЕ логи