Поймали вирус на ноутбуке, шифровальщик.

[ckumunok]

Добрый день, поймали вирус на ноутбуке, шифровальщик.

https://yadi.sk/d/_Akzg4_9ecpgT вот пример зашифрованного файла

Также нашел папку с картинкой и log файлом, которая была названа Flash player
https://yadi.sk/d/L3Ta6RWJecpjX
И папку Письмо https://yadi.sk/d/wv4C4wHVecpk8/%D0%9F% ... 0%BC%D0%BE
Просканировал винт DR web'ом и AVZ, было 22 вируса и два подозрительных файла, все почистил, но файлы все равно зашифрованы(
Обидно, что файлы зашифровались и на облаке и в компе.
Можно ли восстановить файлы?
P.S. Зашифровались JPG, DOC, и еще пару текстовых форматов.
PNG остались не повредились.

[DesignerMix]

ckumunok, здравствуйте, выполните в powershell следующую команду:

Код: Выделить всё

(get-wmiobject Win32_ComputerSystemProduct).UUID

Результат выполнения напишите здесь.

Этой командой вы узнаете UUID компьютера. Скорее всего эта информация использовалась в качестве ключа при шифровании файлов. Когда вы мне скажете ваш UUID я попробую расшифровать файл, и если все получится расскажу как это делал и дам ссылку на источник откуда я это узнал.

Отправлено спустя 10 минут 40 секунд:
А вообще лучше сразу прочитайте вот эту статью, там помимо кода UUID еще понадобится письмо...

[ckumunok]

UUID: B9025781-8E28-11E1-81C4-269F1A8AA78C
Письмо в страхе удалили, корзина его автоматом почистила, около 2х дней прошло.

[DesignerMix]

Письмо в страхе удалили

В письме должны были быть еще два параметра которые нужны для расшифровки это $salt и $init без них к сожалению не получится. Но я могу ошибаться т.к. не каждый день сталкиваюсь с подобными проблемами.

[ckumunok]

Какие были действия:
Пришло письмо на Mail.ru с пометкой важно от судебных приставов (что-то с мировым судом)
Человек открыл письмо, была часть текста и ссылка "читать далее"
Кликнув по ссылке там не было никакой информации (подозреваю просто скачался файл)
В загрузках браузера видно, что был скачан какой-то архив, открыть его не могу так как он зашифрован.
Название архива: DN981-1.zip
Скачан с vek.nn.com
На 100% не уверен, что это именно он.

Отправлено спустя 6 минут 17 секунд:
Сайт vek-nn.com
вес архива 703 кб

[DesignerMix]

ckumunok, нажмите win+r введите туда

Код: Выделить всё

%TEMP%

нажмите enter.

Во открывшейся временной папке поищите файл с расширением .ps1 Такой есть?

PS: Если нет, то скиньте мне в личку архив DN981-1.zip о котором вы написали.

[DesignerMix]

ckumunok, судя по нашей переписке в личке у вас нет файлов которые могли-бы помочь с расшифровкой А по ссылке которую вы мне указали файл уже удален.

[mike 1]

Cryakl 6 версии (он же 567 Encoder). Я думаю без шансов. Кстати, этот шифратор часто идет вместе с UFR-Stealer, поэтому рекомендую все пароли поменять. Можно попробовать поискать файлы шифратора, но для этого нужны некоторые отчеты.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[ckumunok]

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[mike 1]

Ну да, еще в комплекте целая куча Adware.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  Код: Выделить всё

  CreateRestorePoint:
  () C:\Users\Наталья\AppData\Local\Temp\net66B7.tmp.exe
  () C:\Users\98AF~1\AppData\Local\Temp\net8317.tmp.exe
  HKU\S-1-5-21-603998654-2182741118-581127428-1000\...\Run: [ufsxtrxhub] => cmd /c start http://simsimotkroysia.ru/
  HKU\S-1-5-21-603998654-2182741118-581127428-1000\...\Run: [amigo] => [X]
  HKU\S-1-5-21-603998654-2182741118-581127428-1000\...\RunOnce: [GoSearch_startsetsearch_chrome] => C:\Users\Наталья\AppData\Local\Temp\net66B7.tmp.exe [2606560 2015-01-23] () <===== ATTENTION
  HKU\S-1-5-21-603998654-2182741118-581127428-1000\...\RunOnce: [GoSearch_startsetsearch_firefox] => C:\Users\98AF~1\AppData\Local\Temp\net8317.tmp.exe [2606560 2015-01-23] () <===== ATTENTION
  HKU\S-1-5-21-603998654-2182741118-581127428-1000\...\RunOnce: [GoSearchRemoveAppiexplore] => C:\Users\98AF~1\AppData\Local\Temp\NETA72~1.EXE [2606560 2015-01-23] () <===== ATTENTION
  HKU\S-1-5-21-603998654-2182741118-581127428-1000\...\RunOnce: [GoSearchRemoveAppoldopera] => C:\Users\98AF~1\AppData\Local\Temp\NETA72~2.EXE [2606560 2015-01-23] () <===== ATTENTION
  HKU\S-1-5-21-603998654-2182741118-581127428-1000\...\RunOnce: [GoSearchRemoveAppopera] => C:\Users\98AF~1\AppData\Local\Temp\NETA73~1.EXE [2606560 2015-01-23] () <===== ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
  CHR HKU\S-1-5-21-603998654-2182741118-581127428-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
  HKU\S-1-5-21-603998654-2182741118-581127428-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=339770227621f1ffc8528486aa62734a&text={searchTerms}
  HKU\S-1-5-21-603998654-2182741118-581127428-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=339770227621f1ffc8528486aa62734a&text={searchTerms}
  SearchScopes: HKU\S-1-5-21-603998654-2182741118-581127428-1000 -> DefaultScope {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms}
  SearchScopes: HKU\S-1-5-21-603998654-2182741118-581127428-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=339770227621f1ffc8528486aa62734a&text={searchTerms}
  SearchScopes: HKU\S-1-5-21-603998654-2182741118-581127428-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=339770227621f1ffc8528486aa62734a&text=
  SearchScopes: HKU\S-1-5-21-603998654-2182741118-581127428-1000 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms}
  BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
  Toolbar: HKU\S-1-5-21-603998654-2182741118-581127428-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  FF DefaultSearchEngine: GoSearch
  FF SelectedSearchEngine: GoSearch
  FF SearchPlugin: C:\Users\Наталья\AppData\Roaming\Mozilla\Firefox\Profiles\9kvzm81r.default\searchplugins\GoSearch.xml
  FF Extension: Full Protected v15.1.23 - C:\Users\Наталья\AppData\Roaming\Mozilla\Firefox\Profiles\9kvzm81r.default\Extensions\itsoc@ip-come.info [2015-02-04]
  CHR Extension: (FullProtected) - C:\Users\Наталья\AppData\Local\Google\Chrome\User Data\Default\Extensions\agfjdflmdlnffhlfmjdpbcoccaeamikk [2015-01-23]
  CHR HKU\S-1-5-21-603998654-2182741118-581127428-1000\...\Chrome\Extension: [ldhndahencefpagkkbaoaeigbjomkekj] - No Path
  CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - No Path
  CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - No Path
  CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - No Path
  CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - No Path
  CHR HKLM-x32\...\Chrome\Extension: [ldhndahencefpagkkbaoaeigbjomkekj] - No Path
  CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - No Path
  CHR HKLM-x32\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - No Path
  OPR Extension: (No Name) - C:\Users\Наталья\AppData\Roaming\Opera Software\Opera Stable\Extensions\ldhndahencefpagkkbaoaeigbjomkekj [2015-01-23]
  OPR Extension: (FullProtected) - C:\Users\Наталья\AppData\Roaming\Opera Software\Opera Stable\Extensions\plmlpbcjkpppncefeoongifnpinjmegf [2015-01-23]
  Folder: C:\Program Files (x86)\Adobe Flash Player
  Folder: C:\Program Files (x86)\Письмо
  2015-01-23 18:45 - 2015-01-23 18:45 - 00003938 _____ () C:\Windows\System32\Tasks\chrome5_logon
  2015-01-23 18:45 - 2015-01-23 18:45 - 00003796 _____ () C:\Windows\System32\Tasks\chrome5
  2015-01-23 18:45 - 2015-01-23 18:45 - 00000001 _____ () C:\Users\Наталья\AppData\Roaming\smw_inst
  2015-01-23 18:45 - 2015-01-23 18:45 - 00000000 ____D () C:\Program Files (x86)\Microsoft Data
  2015-01-23 18:39 - 2015-01-23 18:39 - 00000000 ____D () C:\Users\Наталья\AppData\Local\Вoйти в Интeрнет 2inf.net
  2015-01-23 18:34 - 2015-02-03 14:05 - 00000000 ____D () C:\Users\Наталья\AppData\Local\Kometa
  2015-01-23 18:30 - 2015-01-23 18:30 - 00000000 ____D () C:\Users\Наталья\AppData\Local\Поиcк в Интeрнете
  2015-01-23 18:26 - 2015-01-23 19:26 - 00000000 ____D () C:\Users\Наталья\AppData\Local\SystemDir
  2015-01-23 18:26 - 2015-01-23 18:26 - 00003504 _____ () C:\Windows\System32\Tasks\nethost task
  2015-01-23 18:45 - 2015-01-23 18:45 - 0000001 _____ () C:\Users\Наталья\AppData\Roaming\smw_inst
  2014-12-02 21:01 - 2014-12-02 21:01 - 0000170 ____H () C:\Users\Наталья\AppData\Roaming\YandexDiskScreenshotEditor.bat
  2014-12-02 21:01 - 2014-12-02 21:01 - 0000170 ____H () C:\Users\Наталья\AppData\Roaming\YandexDiskStarter.bat
  2014-12-02 21:01 - 2014-11-26 18:10 - 0200992 ____H () C:\Users\Наталья\AppData\Roaming\YаndехDiskStаrtеr.bаt.exe
  2014-12-02 21:01 - 2014-11-26 18:10 - 3741472 ____H () C:\Users\Наталья\AppData\Roaming\YаndехDiskSсrееnshоtЕditоr.bаt.exe
  C:\Users\Наталья\AppData\Local\Temp\net66B7.tmp.exe
  C:\Users\98AF~1\AppData\Local\Temp\net8317.tmp.exe
  C:\Users\98AF~1\AppData\Local\Temp\NETA72~1.EXE
  C:\Users\98AF~1\AppData\Local\Temp\NETA72~2.EXE
  C:\Users\98AF~1\AppData\Local\Temp\NETA73~1.EXE
  C:\Users\Наталья\AppData\Local\Temp\kLpgERQO6tKf.exe
  C:\Users\Наталья\AppData\Local\Temp\MyRa7L8GgcEW.exe
  C:\Users\Наталья\AppData\Local\Temp\net66B7.tmp.exe
  C:\Users\Наталья\AppData\Local\Temp\net8317.tmp.exe
  C:\Users\Наталья\AppData\Local\Temp\netA72D.tmp.exe
  C:\Users\Наталья\AppData\Local\Temp\netA72F.tmp.exe
  C:\Users\Наталья\AppData\Local\Temp\netA731.tmp.exe
  C:\Users\Наталья\AppData\Local\Temp\sender.exe
  C:\Users\Наталья\AppData\Local\Temp\wJ9PTsDvn4LE.exe
  C:\Users\Наталья\AppData\Local\Temp\bF9oxNNrz328.exe
  Task: {9DFCA620-EB32-4EFF-849A-5624A3B65A29} - System32\Tasks\nethost task => C:\Users\Наталья\AppData\Local\SystemDir\nethost.exe [2015-01-23] ()
  Task: {9F2B1AD4-32E8-4994-91E7-792EDBEF01C2} - System32\Tasks\chrome5 => C:\Program Files (x86)\Microsoft Data\InstallAddons.exe [2015-01-23] ()
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

• Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
• Распакуйте архив с утилитой в отдельную папку
• Запустите checkbrowserlnk.exe. Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
• После окончания работы программы на рабочем столе будет сохранен отчет CheckBrowserLnk.log
• Прикрепите этот отчет в вашей теме.

[ckumunok]

Логи.

[mike 1]

C:\Program Files (x86)\Письмо\Письмо\codec.exe

Это сам шифратор.

Проверьте эти файлы на virustotal

Код: Выделить всё

C:\Program Files (x86)\Письмо\Письмо\codec.exe

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

[ckumunok]

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

https://www.virustotal.com/ru/file/c21d ... 423916639/

[mike 1]

{VVVWYYZZABBCDEEEFGGHIIIJKLLMMNNOPQQR-10.02.2015 8@32@24141450}
{CRYPTFULLEND}

{CRYPTFULLEND} - означает окончание шифрования файлов. С расшифровкой вам помочь я не смогу.

Про шифратор можете почитать тут http://virusinfo.info/showthread.php?t=173199.

[ckumunok]

С расшифровкой вам помочь я не смогу.

Все равно спасибо за помощь.
Подскажите, а вообще реально сейчас восстановить файлы или расшифровать файлы уже никогда не получится ?

[mike 1]

Подскажите, а вообще реально сейчас восстановить файлы или расшифровать файлы уже никогда не получится ?

Сомневаюсь, что получится расшифровать файлы без мастер ключа, который есть только у автора этого шифратора.

[Geft2012]

Недавно сталкивались с такойже проблемой. Все файлы расшифровали своими силами. Было два шифровалищика xtbl и breaking_bad С ними могу помочь. Пишите на почту geft2012@mail.ru

[aaagb]

Здравствуйте,
Тоже столкнулись с шифратором Trojan.Encoder.225 (DrWeb сообщил так), все файлы после скрипта имеет доп расширение "*.enigma". После обращение лабораторий против вирусов и шифровании помог DrWeb с утилиты Decoder+path. все файлы расшифровались. Если кому то интересно могу выложить шифрованные файлы, а так же утилиту с патчом.
Все удачи