Помогите расшифровать файлы, зашифрованные вирусом [email protected]

**anatolym** · 13.01.2017, 12:53

Вирус зашифровал все документы. На рабочем столе требование связаться со злоумышленниками по адресу [email protected] и заплатить им для получения ключа.
Прошу помочь с расшифровкой.
Архив с логами прилагаю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 13.01.2017, 12:54

Уважаемый(ая) anatolym, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 13.01.2017, 14:38

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DelCLSID('{D26KBN47-QXJM-200M-IB7U-4UI11O58B202}');
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\МICROSОFТ-NET.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\MIСRОSOF-NET-ОFFICE.exe','');
 QuarantineFile('C:\install\install\update.exe','');
 QuarantineFile('C:\Program Files\МICROSОFТ-NET.exe','');
 DeleteFile('C:\Program Files\МICROSОFТ-NET.exe','32');
 DeleteFile('C:\install\install\update.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HKCU');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','HKLM');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\MIСRОSOF-NET-ОFFICE.exe','32');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\МICROSОFТ-NET.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

**anatolym** · 14.01.2017, 02:59

Запустил оба скрипта в AVZ, Файл карантина загрузил по ссылке.
Прикрепляю новые логи AutoLogger.

**thyrex** · 14.01.2017, 12:06

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**anatolym** · 14.01.2017, 12:26

Прикрепляю архив с файлами FRST.txt и Addition.txt

**thyrex** · 14.01.2017, 15:23

2016-07-09 21:26 - 2016-07-09 21:26 - 0000156 _____ () C:\Program Files\ITROI.bat
2016-07-20 11:40 - 2016-07-20 11:40 - 0000156 _____ () C:\Program Files\LSGLV.bat
2016-07-29 22:35 - 2016-07-29 22:35 - 0000156 _____ () C:\Program Files\HIOBG.bat
2016-07-30 10:51 - 2016-07-30 10:51 - 0000156 _____ () C:\Program Files\OSDEO.bat
2016-08-28 11:30 - 2016-08-28 11:30 - 0000156 _____ () C:\Program Files\UPDFR.bat
2016-09-18 20:31 - 2016-09-18 20:31 - 0000156 _____ () C:\Program Files\OJLSX.bat
2016-11-18 22:23 - 2016-11-18 22:23 - 0000156 _____ () C:\Program Files\KGNUS.bat
2016-11-20 11:50 - 2016-11-20 11:50 - 0000156 _____ () C:\Program Files\LECKM.bat
2016-11-22 23:06 - 2016-11-22 23:06 - 0000156 _____ () C:\Program Files\EFTMQ.bat
2016-07-05 10:20 - 2016-07-05 10:20 - 0154283 ____H () C:\Documents and Settings\Admin\Application Data\Admin-wchelper.dll
2016-07-07 20:03 - 2016-11-27 11:45 - 0000810 _____ () C:\Documents and Settings\Admin\Application Data\Adminv3.4.2.2.vbs
C:\Documents and Settings\User2\Local Settings\Temp\Jav2D.tmp.exe
C:\Documents and Settings\User2\Local Settings\Temp\WindowsInstaller-KB893803-v2-x86.exe
C:\Documents and Settings\Admin\Local Settings\Temp\МICROSОFТ-NET.exe

заархивируйте с паролем virus, выложите на https://www.sendspace.com и пришлите ссылку мне в личные сообщения

Так же в этот архив можете добавить образцы зашифрованных файлов

- - - - -Добавлено - - - - -

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
2017-01-14 02:29 - 2017-01-14 02:29 - 00000000 __SHD C:\FOUND.158
2017-01-14 02:20 - 2017-01-14 02:20 - 00000000 __SHD C:\FOUND.157
2016-11-22 23:06 - 2016-11-22 23:06 - 00000156 _____ C:\Program Files\EFTMQ.bat
2016-11-20 11:50 - 2016-11-20 11:50 - 00000156 _____ C:\Program Files\LECKM.bat
2016-11-18 22:23 - 2016-11-18 22:23 - 00000156 _____ C:\Program Files\KGNUS.bat
2017-01-13 12:38 - 2016-10-04 23:32 - 00927422 _____ C:\Program Files\desk.bmp
2016-07-09 21:26 - 2016-07-09 21:26 - 0000156 _____ () C:\Program Files\ITROI.bat
2016-07-20 11:40 - 2016-07-20 11:40 - 0000156 _____ () C:\Program Files\LSGLV.bat
2016-07-29 22:35 - 2016-07-29 22:35 - 0000156 _____ () C:\Program Files\HIOBG.bat
2016-07-30 10:51 - 2016-07-30 10:51 - 0000156 _____ () C:\Program Files\OSDEO.bat
2016-08-28 11:30 - 2016-08-28 11:30 - 0000156 _____ () C:\Program Files\UPDFR.bat
2016-09-18 20:31 - 2016-09-18 20:31 - 0000156 _____ () C:\Program Files\OJLSX.bat
2016-10-04 23:32 - 2017-01-13 12:38 - 0153325 _____ () C:\Program Files\desk.jpg
2016-10-04 23:32 - 2017-01-13 12:38 - 0927422 _____ () C:\Program Files\desk.bmp
2016-11-18 22:23 - 2016-11-18 22:23 - 0000156 _____ () C:\Program Files\KGNUS.bat
2016-11-20 11:50 - 2016-11-20 11:50 - 0000156 _____ () C:\Program Files\LECKM.bat
2016-11-22 23:06 - 2016-11-22 23:06 - 0000156 _____ () C:\Program Files\EFTMQ.bat
2016-07-05 10:20 - 2016-07-05 10:20 - 0154283 ____H () C:\Documents and Settings\Admin\Application Data\Admin-wchelper.dll
2016-07-07 20:03 - 2016-11-27 11:45 - 0000810 _____ () C:\Documents and Settings\Admin\Application Data\Adminv3.4.2.2.vbs
C:\Documents and Settings\User2\Local Settings\Temp\AskSLib.dll
C:\Documents and Settings\Admin\Local Settings\Temp\utt14A.tmp.exe
C:\Documents and Settings\Admin\Local Settings\Temp\МICROSОFТ-NET.exe
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

**anatolym** · 14.01.2017, 19:16

Готово. Прикрепляю файл Fixlog.txt

**thyrex** · 14.01.2017, 19:54

Проверьте ЛС

**CyberHelper** · 14.01.2017, 20:04

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 8
В ходе лечения вредоносные программы в карантинах не обнаружены

Помогите расшифровать файлы, зашифрованные вирусом [email protected] (заявка № 208043)

Опции темы