Помогите с шифровальщиком neitrino

**candibober** · 10.01.2017, 13:46

Сегодня зашифровались данные на диске одного из сотрудников.
к файлам добавилось расширение - neitrino

в папках, где побывал вирус, найден файл следующего содержания -

Запросить стоимость декриптора можно, написав письмо на адрес: [email protected]
В ТЕМЕ письма укажите ваш ID: 6241649786
Письма без указания ID игнорируются.
Убедительная просьба не пытаться расшифровать файлы сторонними инструментами.
Вы можете их окончательно испортить и даже оригинальный декриптор не поможет.
Приобрести декриптор можно до 13.01.2017
Заявки обрабатываются автоматической системой.

Помогите с дешифрацией данных, пожалуйста.
Заранее благодарю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 10.01.2017, 13:48

Уважаемый(ая) candibober, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 11.01.2017, 16:42

Здравствуйте,

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**candibober** · 11.01.2017, 17:13

Добрый день,
спасибо за ответ.
Прикладываю файлы.

SQ · 11.01.2017, 18:21

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
BHO: Norton Vulnerability Protection -> {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -> C:\Program Files\Symantec.cloud\EndpointProtectionAgent\Engine\21.5.0.19\IPS\IPSBHO.DLL => No File
FF SearchPlugin: C:\Users\tgurova\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\MESSAGE.txt [2017-01-10]
CHR HKLM\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - hxxp://clients2.google.com/service/update2/crx
2017-01-10 10:20 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Павел\MESSAGE.txt
2017-01-10 10:20 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Павел\AppData\Roaming\MESSAGE.txt
2017-01-10 10:20 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Павел\AppData\MESSAGE.txt
2017-01-10 10:20 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Администратор\MESSAGE.txt
2017-01-10 10:20 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Администратор\Downloads\MESSAGE.txt
2017-01-10 10:20 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Администратор\Documents\MESSAGE.txt
2017-01-10 10:20 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\MESSAGE.txt
2017-01-10 10:20 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Администратор\AppData\Roaming\MESSAGE.txt
2017-01-10 10:20 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Администратор\AppData\MESSAGE.txt
2017-01-10 10:20 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Администратор\AppData\Local\MESSAGE.txt
2017-01-10 10:20 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Администратор.000\MESSAGE.txt
2017-01-10 10:20 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Администратор.000\Downloads\MESSAGE.txt
2017-01-10 10:20 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Администратор.000\Documents\MESSAGE.txt
2017-01-10 10:20 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Администратор.000\Desktop\MESSAGE.txt
2017-01-10 10:20 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Администратор.000\AppData\Roaming\Microsoft\Windows\Start Menu\MESSAGE.txt
2017-01-10 10:20 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Администратор.000\AppData\Roaming\MESSAGE.txt
2017-01-10 10:20 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Администратор.000\AppData\MESSAGE.txt
2017-01-10 10:20 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Администратор.000\AppData\Local\MESSAGE.txt
2017-01-10 10:20 - 2017-01-10 11:02 - 00000417 _____ C:\Users\tgurova\AppData\Roaming\Microsoft\Windows\Start Menu\MESSAGE.txt
2017-01-10 10:19 - 2017-01-10 11:02 - 00000417 _____ C:\Users\tgurova\Downloads\MESSAGE.txt
2017-01-10 10:14 - 2017-01-10 11:02 - 00000417 _____ C:\Users\tgurova\Documents\MESSAGE.txt
2017-01-10 10:13 - 2017-01-10 11:02 - 00000417 _____ C:\Users\tgurova\Desktop\MESSAGE.txt
2017-01-10 10:12 - 2017-01-10 11:02 - 00000417 _____ C:\Users\tgurova\AppData\Roaming\MESSAGE.txt
2017-01-10 10:10 - 2017-01-10 11:02 - 00000417 _____ C:\Users\tgurova\AppData\LocalLow\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Все пользователи\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\tgurova\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\tgurova\AppData\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\tgurova\AppData\Local\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\tgurova\AppData\Local\Apps\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Public\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Public\Downloads\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Public\Documents\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\ionopa\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\ionopa\Downloads\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\ionopa\Documents\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\ionopa\Desktop\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\ionopa\AppData\Roaming\Microsoft\Windows\Start Menu\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\ionopa\AppData\Roaming\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\ionopa\AppData\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\ionopa\AppData\Local\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\ekozlova\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\ekozlova\Downloads\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\ekozlova\Documents\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\ekozlova\Desktop\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\ekozlova\AppData\Roaming\Microsoft\Windows\Start Menu\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\ekozlova\AppData\Roaming\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\ekozlova\AppData\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\ekozlova\AppData\LocalLow\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\ekozlova\AppData\Local\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Default\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Default\Downloads\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Default\Documents\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Default\Desktop\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Default\AppData\Roaming\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Default\AppData\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Default\AppData\Local\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Default User\Downloads\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Default User\Documents\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Default User\Desktop\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Default User\AppData\Roaming\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Default User\AppData\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Default User\AppData\Local\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Consplus\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Consplus\Downloads\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Consplus\Documents\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Consplus\Desktop\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Consplus\AppData\Roaming\Microsoft\Windows\Start Menu\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Consplus\AppData\Roaming\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Consplus\AppData\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Consplus\AppData\Local\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Administrator\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Administrator\Downloads\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Administrator\Documents\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Administrator\Desktop\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Administrator\AppData\Roaming\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Administrator\AppData\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Administrator\AppData\LocalLow\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\Administrator\AppData\Local\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\admin.VENTUR\Downloads\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\admin.VENTUR\Documents\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\admin.VENTUR\Desktop\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\admin.VENTUR\AppData\Roaming\Microsoft\Windows\Start Menu\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\admin.VENTUR\AppData\Roaming\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\Users\admin.VENTUR\AppData\LocalLow\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\ProgramData\Microsoft\Windows\Start Menu\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 00000417 _____ C:\ProgramData\MESSAGE.txt
2017-01-10 10:03 - 2017-01-10 11:02 - 00000417 _____ C:\Users\admin\MESSAGE.txt
2017-01-10 10:03 - 2017-01-10 11:02 - 00000417 _____ C:\Users\admin\Downloads\MESSAGE.txt
2017-01-10 10:03 - 2017-01-10 11:02 - 00000417 _____ C:\Users\admin\Documents\MESSAGE.txt
2017-01-10 10:03 - 2017-01-10 11:02 - 00000417 _____ C:\Users\admin\Desktop\MESSAGE.txt
2017-01-10 10:03 - 2017-01-10 11:02 - 00000417 _____ C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\MESSAGE.txt
2017-01-10 10:03 - 2017-01-10 11:02 - 00000417 _____ C:\Users\admin\AppData\Roaming\MESSAGE.txt
2017-01-10 10:03 - 2017-01-10 11:02 - 00000417 _____ C:\Users\admin\AppData\MESSAGE.txt
2017-01-10 10:03 - 2017-01-10 11:02 - 00000417 _____ C:\Users\admin\AppData\LocalLow\MESSAGE.txt
2017-01-10 10:03 - 2017-01-10 11:02 - 00000417 _____ C:\Users\admin\AppData\Local\MESSAGE.txt
2017-01-10 10:03 - 2017-01-10 11:02 - 00000417 _____ C:\Users\admin.VENTUR\MESSAGE.txt
2017-01-10 10:03 - 2017-01-10 11:02 - 00000417 _____ C:\Users\admin.VENTUR\AppData\MESSAGE.txt
2017-01-10 10:03 - 2017-01-10 11:02 - 00000417 _____ C:\Users\admin.VENTUR\AppData\Local\MESSAGE.txt
2017-01-10 09:56 - 2017-01-10 11:02 - 00000417 _____ C:\Users\MESSAGE.txt
File: C:\Windows\upwpmhlp.dll
2017-01-10 10:12 - 2017-01-10 11:02 - 0000417 _____ () C:\Users\tgurova\AppData\Roaming\MESSAGE.txt
2017-01-10 10:12 - 2017-01-10 11:02 - 0000417 _____ () C:\Users\tgurova\AppData\Roaming\Microsoft\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 0000417 _____ () C:\Users\tgurova\AppData\Local\MESSAGE.txt
2017-01-10 10:04 - 2017-01-10 11:02 - 0000417 _____ () C:\ProgramData\MESSAGE.txt
File: C:\ProgramData\UserProfileMigrationService.exe
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**candibober** · 12.01.2017, 17:14

Добрый день,

SQ · 12.01.2017, 20:18

К сожалению с расшифровкой не поможем.

P.S. Не удаляйте каталог C:\FRST до тех пор пока не решите вопрос с расшифровкой.

**candibober** · 12.01.2017, 21:23

Мне прислали декриптор, но он не сработал.
Вы можете его посмотреть?

SQ · 13.01.2017, 00:36

Пришлите дескриптор с образцами нерасшифровавшихся файлов выкладывает на www.sendspace.com.
в следующем сообщение приложите ссылку на архив.

**candibober** · 13.01.2017, 09:03

Добрый день,

sendspace у меня что-то не открылся, я выложил здесь https://cloud.mail.ru/public/BgZk/njzTFvnkd
внутри этого архива, есть архив с декриптором. Для него пароль - 123

Подскажите, на компьютере еще есть активный шифровальщик? Вновь созданные файлы под угрозой или нет?

Спасибо.

**thyrex** · 13.01.2017, 11:02

Дешифровку запускаете на компьютере с именем EKOZLOVA?

**candibober** · 13.01.2017, 11:33

Да, конечно.

**thyrex** · 13.01.2017, 11:57

Какую ошибку показывает дешифратор?

**candibober** · 13.01.2017, 12:02

В интерфейсе никакой.
На кнопке,где было написано DECRYPT->WORKING, появляется DONE.
И создаются файлы с правильным именем, но размером 0 байт.
Заканчивается все довольно быстро, не более 2-4 минут.

В папке, где запускался дешифратор, никаких логов не создается.

**thyrex** · 13.01.2017, 12:59

Ну тогда придется изучать дешифратор, на что потребуется время

**candibober** · 13.01.2017, 14:01

Сообщение от thyrex

Ну тогда придется изучать дешифратор, на что потребуется время

Подскажите, а можно как-нибудь ускорить процесс? За donate или через Помогите+ ?
Спасибо.

**thyrex** · 13.01.2017, 14:26

Увы, тут все упирается в наличие (точнее отсутствие) свободного времени. У меня ведь и по основной работе дел хватает

**candibober** · 13.01.2017, 15:13

Сообщение от thyrex

Увы, тут все упирается в наличие (точнее отсутствие) свободного времени. У меня ведь и по основной работе дел хватает

Понял. Буду ждать.
Заранее спасибо.

- - - - -Добавлено - - - - -

Сообщение от thyrex

Ну тогда придется изучать дешифратор, на что потребуется время

Подскажите, как можно узнать, шифровальщик еще сидит на компе или он после перезагрузки перестает работать?
И то что они пишут про 13 января - этой фейк?

**thyrex** · 13.01.2017, 21:56

Сообщение от candibober

И то что они пишут про 13 января - этой фейк?

скорее всего да. По крайней мере в предыдущих версиях еще была проверка даты. Сейчас беглый анализ ее не показывает

- - - - -Добавлено - - - - -

Вопрос: файлы не расшифровываются в любой папке? У меня по какой-то причине не хочет брать файлы только в папке Мои документы

**candibober** · 13.01.2017, 22:15

После запуска дешифратора я ни одного расшифрованного файла не находил, только файлы размером 0 байт.

У вас файлы расшифровываются успешно?

Помогите с шифровальщиком neitrino (заявка № 207888)

Опции темы