Шифровальщик в письме

**bistro** · 11.08.2020, 15:28

Добрый день, предположительно запустили из почты шифровальщика(скачали и запустили с файлообменника файл 30EKJker). часть файлов после это не открывается выдает ошибку что формат не поддерживается, или например Excel открывает файл как бы с битой кодировкой.

В корне папки появился текстовый файл с названием README_vbdqp5z1llf0.txt с требованием оплаты.
Писмо пришло под видом рассылки от Российский союз промышленников и предпринимателей <[email protected]>, в нем ссылка на файл:
[удалено].
Есть ли шанс расшифровать файлы?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 11.08.2020, 15:31

Уважаемый(ая) bistro, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Sandor** · 11.08.2020, 16:50

Здравствуйте!

Сообщение от bistro

текстовый файл с названием README_vbdqp5z1llf0.txt

Этот файл вместе с парой зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

**bistro** · 11.08.2020, 17:35

в архиве два разных типа файла.

**Sandor** · 11.08.2020, 19:57

Тип вымогателя похож на Decr1pt, расшифровки нет, к сожалению.

**bistro** · 11.08.2020, 19:59

Сообщение от Sandor

Тип вымогателя похож на Decr1pt, расшифровки нет, к сожалению.

Печально, а в системе его больше нет? Я прошёлся Касперским сразу после того как сообщили о шифровании файлов.

**Sandor** · 11.08.2020, 20:14

C:\Users\user\AppData\Roaming\user\tor.exe
C:\Users\user\AppData\Roaming\user\node.exe
C:\Users\user\AppData\Roaming\user\service

Эта папка и файлы вам известны?

**bistro** · 11.08.2020, 21:48

Сообщение от Sandor

Эта папка и файлы вам известны?

Нет, не знакомы.

**Sandor** · 12.08.2020, 08:47

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
CreateRestorePoint:
() [File not signed] C:\Users\user\AppData\Roaming\user\tor.exe
(Node.js Foundation -> Node.js) C:\Users\user\AppData\Roaming\user\node.exe
HKLM-x32\...\RunOnce: [{7A47EA25-73D3-4449-B452-75BD4EF49F3A}] => C:\Users\admin\AppData\Local\Temp\{68E66F33-AECE-4E78-AF7E-5C2028F929D4}\{7A47EA25-73D3-4449-B452-75BD4EF49F3A}.cmd [ ] <==== ATTENTION
HKU\S-1-5-21-53156107-587950410-1039258672-1001\...\Run: [Update] => "C:\Users\user\AppData\Roaming\user\node" "C:\Users\user\AppData\Roaming\user\service"
HKU\S-1-5-21-53156107-587950410-1039258672-1001\...\MountPoints2: {987a933d-c3d9-11e9-9f41-e03f49499734} - E:\start.exe
C:\Users\user\AppData\Roaming\user\
FirewallRules: [{F58B0801-CB15-4AFF-A0D7-2D26EC384CA4}] => (Allow) LPort=3702
FirewallRules: [{CC9FFC40-B0A7-4F6E-A681-8CE3FFCBEB64}] => (Allow) LPort=9244
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

**bistro** · 12.08.2020, 10:44

после этого еще чем то еще нужно сканировать комп на всякий случай?

**Sandor** · 12.08.2020, 10:56

Компьютер перезагружался после выполнения скрипта?

**bistro** · 12.08.2020, 14:26

да, перезагрузился.

**Sandor** · 12.08.2020, 15:40

Давайте ещё так посмотрим:
Сделайте полный образ автозапуска uVS, только программу скачайте отсюда

**bistro** · 12.08.2020, 17:13

Сообщение от Sandor

Давайте ещё так посмотрим:
Сделайте полный образ автозапуска uVS, только программу скачайте отсюда

готово

**Sandor** · 12.08.2020, 20:58

Подозрительного больше не видно.

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

**bistro** · 13.08.2020, 09:58

готово.

**Sandor** · 13.08.2020, 10:16

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.19377 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------- [ HotFix ] --------------------------------
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.7.2 v.4.7.03062 Внимание! Скачать обновления
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.61 (64-разрядная) v.5.61.0 Внимание! Скачать обновления
7-Zip 18.05 v.18.05 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 27 ActiveX v.27.0.0.130 Внимание! Скачать обновления
Adobe Flash Player 27 NPAPI v.27.0.0.130 Внимание! Скачать обновления
Adobe Flash Player 27 PPAPI v.27.0.0.130 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.20.7.3.101 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.0.5.0038 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1901 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Хотфиксы постарайтесь все установить.
Читайте Советы и рекомендации после лечения компьютера.

**bistro** · 13.08.2020, 10:47

Большое спасибо за помощь!

Шифровальщик в письме (заявка № 225468)

Опции темы