trojan-downloader.script.generic

[srednij]

Добрый день. Получил письмо, думал поставщики по ошибке отправили, такое случалось. Оказался вирус, зашифровал файлы формата docx, xlsx, jpg, pdf. Соответственно эти файлы не открываются. Во вложении сам файл и архив после сканирования.

 

CollectionLog-2017.01.11-17.35.zip

[Sandor]

Здравствуйте!

"Пофиксите" в HijackThis :

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = C:\Program Files\i2p\scripts\i2pProxy.pac
R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies,(Default) = 0C:\Program Files\i2p\scripts\i2pProxy.pac

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[srednij]

HiJackThis.log

Addition.txt

FRST.txt

[srednij]

Shortcut.txt весит 1,12 Мб, прикрепить не получается

[Sandor]

Упакуйте.

[srednij]

Shortcut.zip

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
AutoConfigURL: [S-1-5-21-699453313-3146615548-1461102757-1001] => C:\Program Files\i2p\scripts\i2pProxy.pac
ManualProxies: 0C:\Program Files\i2p\scripts\i2pProxy.pac
C:\Users\User\AppData\Local\Temp\4a0f17b9936.exe
C:\Users\User\AppData\Local\Temp\exereader.exe
C:\Users\User\AppData\Local\Temp\mini_installer_new.exe
HKU\S-1-5-21-699453313-3146615548-1461102757-1001\...\ChromeHTML: ->  <==== ATTENTION
AlternateDataStreams: C:\Users\User\Desktop\д3п.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\User\Desktop\д3п.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\User\Desktop\завесы.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\User\Desktop\завесы.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\User\Desktop\завесы1.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\User\Desktop\завесы1.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\User\Desktop\завесы2.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\User\Desktop\завесы2.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\User\Desktop\Скан служебки по превышению.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\User\Desktop\Скан служебки по превышению.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\User\Desktop\Служебка по опрессовщику.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\User\Desktop\Служебка по опрессовщику.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.


Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
 

[srednij]

Пока ничего не изменилось. После перезагрузки

Fixlog.txt

[Sandor]

Мы пока удаляли следы.

Постарайтесь найти пару зашифрованный/не зашифрованный. Если найдете, упакуйте и прикрепите к следующему сообщению, вместе с файлом ключа и (если есть) текстом вымогателей.

[srednij]

Письмо пришло видимо с целью навредить. Никакого банера или текста об оплате нет. Не совсем понял что значит найти пару зашифрованный/не зашифрованны. В момент открытия вируса был открыт документ docx, он  не зашифровался. Его отправить и любой другой того же формата? Теперь Касперский нашел троянскую программу Trojan-Ransom.JS.Agent.dy. Что можно ещё предпринять?

[Sandor]

1 минуту назад, srednij сказал:

Не совсем понял что значит найти пару

К примеру, есть зашифрованный файл "образец.doc" (вероятно с другим расширением) и есть в другом месте (на флэшке, на другом ПК и т.п.) такой же файл, но не зашифрованный.

[srednij]

Есть 2 картинки. Вставляется только незашифрованный

[srednij]

4.zip

[Sandor]

12 минуты назад, srednij сказал:

Вставляется только незашифрованный

Упакуйте оба с паролем на архив.

Изменено 12 января, 2017 пользователем Sandor

[srednij]

1.zip

[srednij]

Пароль help

[Sandor]

1 час назад, Sandor сказал:

вместе с файлом ключа

Один из этих файлов:

Цитата

C:\Users\User\Desktop\RUD2A-35XRE-HXTHX-EETXE-HXTHX-TOOXZ-OXTXR-EXYYY.KEY

C:\Users\User\AppData\Roaming\RUD2A-35XRE-HXTHX-EETXE-HXTHX-TOOXZ-OXTXR-EXYYY.KEY

C:\RUD2A-35XRE-HXTHX-EETXE-HXTHX-TOOXZ-OXTXR-EXYYY.KEY

тоже, пожалуйста, прикрепите.

И наберитесь терпения, обещать пока ничего не буду.

[srednij]

Не пойму где взять файлы ключей

[Sandor]

Включите в проводнике отображение скрытых и системных файлов.

[srednij]

RUD2A-35XRE-HXTHX-EETXE-HXTHX-TOOXZ-OXTXR-EXYYY.KEY

RUD2A-35XRE-HXTHX-EETXE-HXTHX-TOOXZ-OXTXR-EXYYY.KEY

RUD2A-35XRE-HXTHX-EETXE-HXTHX-TOOXZ-OXTXR-EXYYY.KEY

[Sandor]

Вынужден Вас огорчить, это новый шифровальщик Spora. Инструментов по расшифровке пока не предвидится.

Если повезет, пробуйте восстановить файлы средствами Windows.