Зашифрованы все файлы vault [Trojan-Ransom.Win32.Scatter.b ]

**microekspert** · 25.02.2016, 11:02

Здравствуйте, зашифрованы все файлы. Пока причину не выяснили, то ли на флешке шифратор принесли, то ли на почту пришёл.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 25.02.2016, 11:03

Уважаемый(ая) microekspert, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 26.02.2016, 10:20

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('E:\autorun.inf','');
 QuarantineFile('E:\start.exe','');
 QuarantineFile('C:\Windows\SysWOW64\DirectDrawEx\DirectDrawEx.lnk','');
 QuarantineFile('C:\Windows\system32\DirectDrawEx\DirectDrawEx.pif','');
 QuarantineFileF('C:\Windows\system32\DirectDrawEx', '*', false,'', 0, 0);
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup-\VAULT.hta','');
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta','');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta','32');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup-\VAULT.hta','32');
 DeleteFile('C:\Windows\system32\DirectDrawEx\DirectDrawEx.pif','32');
 DeleteFile('C:\Windows\SysWOW64\DirectDrawEx\DirectDrawEx.lnk','32');
  BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Приложите новый лог AVZ

**microekspert** · 26.02.2016, 14:21

Нового лога нет, карантин прислал

SQ · 26.02.2016, 14:42

Сообщение от microekspert

Нового лога нет, карантин прислал

Обнаружен следующий вредоносный файл:

Код:

C:\Windows\system32\DirectDrawEx\DirectDrawEx.pif - Trojan-Ransom.Win32.Scatter.b

сделайте как ранее сделали лог AVZ только новый

**microekspert** · 26.02.2016, 16:14

Приложил

SQ · 26.02.2016, 16:41

Знакома Вам?

Код:

C:\QGNA\qgna.exe

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 TerminateProcessByName('C:\Windows\system32\DirectDrawEx\DirectDrawEx.pif');
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta','');
 QuarantineFile('C:\QGNA\qgna.exe','');
 QuarantineFile('C:\Windows\SysWOW64\DirectDrawEx\DirectDrawEx.lnk','');
 QuarantineFile('C:\Windows\system32\DirectDrawEx\DirectDrawEx.pif','');
 DeleteFile('C:\Windows\system32\DirectDrawEx\DirectDrawEx.pif','32');
 DeleteFile('C:\Windows\SysWOW64\DirectDrawEx\DirectDrawEx.lnk','32');
  BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте лог Check Browsers' LNK и приложите его в теме.

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**microekspert** · 29.02.2016, 09:26

Мне лично qgna.exe не знаком
(Погуглил, предположительно для майнинга биткоинов? Как недавно был пойман на этом utorrent)
Приложил...

SQ · 29.02.2016, 10:14

Сообщение от microekspert

Мне лично qgna.exe не знаком.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta [2016-02-26] ()
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-2054965528-3274461310-2768301942-1001\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
2016-02-26 22:38 - 2015-11-03 09:16 - 00000000 ___SD C:\Windows\SysWOW64\DirectDrawEx
Folder: C:\Users\User\psb2
Task: {DB227D53-EEEE-4D09-A9DF-D22CA2A6E6E4} - System32\Tasks\GameNet => C:\QGNA\qgna.exe
C:\QGNA\qgna.exe
C:\QGNA
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**microekspert** · 29.02.2016, 14:09

прикрепляю

SQ · 29.02.2016, 14:33

С расшифровкой не поможем.

P.S. Если у Вас есть лицензия на продукты Лаборатории Касперского, то можете попробовать создать запрос в тех. поддержку ЛК, с просьбой помочь расшифровать данные.

**microekspert** · 29.02.2016, 15:09

Спасибо за лечение

SQ · 29.02.2016, 15:50

Копия всех фикснутых ресурсов в том числе вредоносного ПО, находиться в каталоге C:\FRST.

P.S. Заархивируйте каталог C:\FRST в zip c паролем virus, для того чтобы если потребуется что-то вернуть смогли это сделать.
Далее сам каталог C:\FRST удалите, для того чтобы исключить возможность, чтобы кто-нибудь не запустил шифровальщик еще раз.

Также убедитесь, чтобы отсутстовал каталог в системе:

Код:

C:\Windows\system32\DirectDrawEx

**CyberHelper** · 29.02.2016, 16:00

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 10
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\directdrawex\directdrawex.pif - Trojan-Ransom.Win32.Scatter.b ( DrWEB: Trojan.Siggen6.23087 )

Зашифрованы все файлы vault [Trojan-Ransom.Win32.Scatter.b ] (заявка № 197510)

Опции темы