Решена без расшифровки Нарвался на шифровальщика. Видимо Dharma (.cezar Family)

[a.v.frolov]

Доброго времени суток!
Был открыт RDP 3389 с пробросом в интернет без пароля. Через этого пользователя и зашел троян, как я понимаю.
Имеются как зашифрованые файлы, так и оригиналы.
Также имеется тело вируса, как я понимаю.
Прикладываю все.
Пароль на архивы с вирусом - virus
Написал письмо вымогателям. Текст ответа тоже прикладываю.
Если есть возможность помочь - буду благодарен.

 

[Sandor]

Здравствуйте!

Видимо Dharma (.cezar Family)

Верно. К сожалению, расшифровки нет.

Combofix вы напрасно запускали. Удалите следы:
Скачайте OTCleanIt, запустите, нажмите Clean up.

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Chromium

Затем:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[a.v.frolov]

Ну, чтож... есть смысл ждать дешифратор? или это может занять года?
COmbofix не запускал. Когда-то ранее, может с полгода назад.

 

[Sandor]

ждать дешифратор? или это может занять года?

Однозначного ответа нет. Известны случаи, когда злодеи сами отдавали ключи, когда их ловили и изымали сервера. Но расшифровка может и не появиться вообще.

Когда-то ранее, может с полгода назад

Следы видны, поэтому сделайте очистку предложенным способом.

 

[a.v.frolov]

Спасибо, за вашу работу и нужное дело. Прикрепляю отчет. Буду надеяться на появление ключей.

 

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[a.v.frolov]

Доброго времени суток!
Прикладываю файлы. Данное ПО, что-то из серии ComboFix?

 

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction - Windows Defender <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  CHR HomePage: Default -> mail.ru
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/7993/","hxxp://www.yandex.ru/?win=100&clid=2073737"
  CHR HKLM-x32\...\Chrome\Extension: [aeembeejekghkopiabadonpmfpigojok]
  CHR HKLM-x32\...\Chrome\Extension: [ahnphcmhmhcjjcjhmnnjjlbmaeljecga]
  CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb]
  CHR HKLM-x32\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi]
  CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm]
  CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj]
  AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
  AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [149]
  AlternateDataStreams: C:\Users\home\Desktop\КИМ.exe:KAVICHS [74]
  HKU\S-1-5-21-2615409057-564666879-4166609619-1000\Software\Classes\.scr:  =>  <==== ATTENTION
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[akok]

Данное ПО, что-то из серии ComboFix?

Похожа только структура лога, ничего не удаляется автоматом.

 

[a.v.frolov]

Готово

 

[Sandor]

В завершение:
1. Смените пароли на RDP.

2.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

3.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[a.v.frolov]

Доброго времени суток!
Извиняюсь, что надолго пропал, завалило работой до жути. Конец года. Заметил на днях такой момент, некоторые зашифрованные фото, открываются в просмотре на гугл диске.

 

[a.v.frolov]

Разобрался. Остались предыдущие версии файлов

 

[Sandor]

Рекомендации из сообщения 11 проделайте всё же.