Trojan шифровальщик, зашифровавший файлы с расширением Blacksnow

**Zeland** · 02.06.2017, 11:53

Уважаемое сообщество, прошу помощи в расшифровке файлов.
Все файлы получили расширение .blacksnow
Запускал лечащую утилиту от drweb cureit - вычистила 3 угрозы.
Ваш сайт нашел уже после лечения cureit'ом. Знал бы, не стал сразу лечить им и сделал ьы сразу все по инструкции.
Лог доктор веба и карантин прилагаю. Также прилагаю зашифрованные файл и их незашифрованные аналоги.Компьютер после заражения не перезагружал. MalwareBytes не дает сохранить отчёт (как это было написано в теме по аналогичному заражению https://virusinfo.info/showthread.php?t=212139) - система виснет при попытке диалога "сохранить как" в любой программе, в том числе и в MB (прикрепил скриншот).
Прошу помощи, так как файлы на сервере очень важные. Заранее очень благодарен!

Файлы доктор веба cureit https://yadi.sk/d/-kf7-AtQ3Jkn8V
Шифрованный и нешифрованные версии файлов, которые удалось отыскать https://yadi.sk/d/NZ1Qvfjj3JknAj

p.s.: приложил еще текстовой файл (лежит в каждой папке) с текстом вымогательства
https://yadi.sk/i/luC0hoVH3Jkobb

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 02.06.2017, 12:00

Уважаемый(ая) Zeland, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 02.06.2017, 17:43

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\Fonts\libcurl.dll','');
 QuarantineFile('C:\Windows\Fonts\libwinpthread-1.dll','');
 QuarantineFile('C:\Users\ADMINI~1\AppData\Local\Temp\2\49483MeCJtHRRvj.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Alcmeter');
 DeleteFile('C:\Users\ADMINI~1\AppData\Local\Temp\2\49483MeCJtHRRvj.exe','32');
 DeleteFile('C:\Windows\Fonts\libwinpthread-1.dll','32');
 DeleteFile('C:\Windows\Fonts\libcurl.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

**Zeland** · 02.06.2017, 19:46

Спасибо за отклик на мою тему.
Выполню, к сожалению, только после выходных, уехал до понедельника.
Новые логи AutoLogger сделать после перезагрузки компьютера ?

**thyrex** · 02.06.2017, 21:37

Да, после выполнения обоих скриптов и отсылки карантина

**Zeland** · 11.06.2017, 16:49

Прошу прощения за долгое отсутствие, обстоятельства. Проблема еще актуальна. Выполнил скрипт, который Вы просили.
Карантин не загружается через форму, пишет, что файл уже был загружен.
Вложил файлы

**thyrex** · 11.06.2017, 17:40

Логи прикрепляют к сообщению на форуме, а не выкладывают на обменник

**Zeland** · 11.06.2017, 18:29

Поправил. Вложил.

**thyrex** · 13.06.2017, 00:01

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**Zeland** · 13.06.2017, 02:00

Готово

**thyrex** · 13.06.2017, 07:18

Странно, что Вы зашифрованных файлов с расширением [email protected] не увидели.

Прикрепите в архиве к следующему сообщению образцы файлов зашифрованных каждым шифратором.

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
S2 MpsSsvcc; C:\Windows\debug\winl0gon.exe [X]
S3 MSSQLFDLauncher; "C:\Program Files\Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\fdlauncher.exe" -s MSSQL10_50.MSSQLSERVER [X]
S2 SpyHunter 4 Service; C:\Program Files (x86)\SpyHunter\SH4Service.exe [X]
S3 EsgScanner; system32\DRIVERS\EsgScanner.sys [X]
2014-01-15 08:53 - 2011-02-25 09:19 - 0000673 _____ () C:\Program Files\HOW TO DECRYPT FILES.txt
2014-01-15 08:53 - 2011-02-25 09:19 - 0000673 _____ () C:\Program Files (x86)\HOW TO DECRYPT FILES.txt
2014-01-15 08:53 - 2011-02-25 09:19 - 0000673 _____ () C:\Users\Administrator\AppData\Roaming\HOW TO DECRYPT FILES.txt
2014-01-15 08:53 - 2011-02-25 09:19 - 0000673 _____ () C:\Users\Administrator\AppData\Local\HOW TO DECRYPT FILES.txt
2014-01-15 08:53 - 2011-02-25 09:19 - 0000673 _____ () C:\ProgramData\HOW TO DECRYPT FILES.txt
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

**Zeland** · 13.06.2017, 09:24

Доброе утро!
Закрыта незавершенная тема https://virusinfo.info/showthread.ph...81#post1453481
До конца не разобрались. Продолжу тут. Просьба модераторов, открыть вышеуказанную тему и объединить её с этой. Заранее большое спасибо.
thyrex, в продолжение диалога, файлы с расширением [email protected] увидел, но они появились позже (зашифровал незначительное количество оставшихся в системе файлов) файлов, зашифрованных с расширением .Blacksnow . По сути важны только файлы, зашифрованные Blacksnow, а файлы, зашифрованные позже [email protected] не представляют уже ценности.

Следующие шаги, указанные в предыдущей теме, выполняю, по выполнении отпишусь сюда.

**Zeland** · 13.06.2017, 09:42

Добавил запрошенный fixlog и выложил архив с парой зашифрованных файлов шифровальщиком blacksnow

**thyrex** · 13.06.2017, 11:18

Т.е. с файлами после другого шифратора собираетесь продолжать жить?

**Zeland** · 13.06.2017, 11:41

Уже смирился с потерей системы и установил заново систему на новую виртуалку, все настроил, залил послежние апдейты, поотключал smb и другие ненужные службы, ограничил доступ к рдп и т.д..
А со старой виртуалкой и файлами, зашифрованными blacksnow, продолжаю разбираться здесь вместе с Вами.
По сути нужно вытащить только файлы, которые зашифрованы blacksnow (их второй шифровальщик поверх не тронул, да и отдельно я их все сохранил заранее в надежде на то, что удастся их расшифровать).
Оставшиеся файлы (а точнее типы файлов), которые позже зашифровал другой троян, как я уже писал, не представляют ценности.

**thyrex** · 13.06.2017, 11:50

Проверьте ЛС

**Zeland** · 13.06.2017, 15:53

Огромное спасибо за помощь. Вы мне очень помогли.

Trojan шифровальщик, зашифровавший файлы с расширением Blacksnow (заявка № 212668)

Опции темы