Решена без расшифровки Поймал Трояна-шифровальщика

[chingiz]

Нужна помощь. Случайно запустил с почты Трояна. Оказались зашифрованы все рабочие файлы, очень важные документы.
На жестких дисках появилось текстовое сообщение
README1 (прилагается)
Позднее получил инструкции сколько биткоинов нужно оплатить, что бы получить код и приложение для расшифровки (прилагается).
Мною были сделаны попытки остановить процесс в т.ч. очистка компьютера антивирусами в частности Dr.Web curit. Как сейчас выяснилось зря.
Помогите пожалуйста.... Логи собрал...

 

[Sandor]

Здравствуйте!

Это Shade, к сожалению, расшифровки нет.
Если нужна помощь в очистке следов, дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[chingiz]

Спасибо а быстрый ответ. Очень печально, что расшифровать невозможно. Неужели нужно платить вымогателям?
Может подскажете из опыта есть ли смысл обращаться в правоохранительные органы? Вчера уже на личную почту пришло похожее письмо с аналогичным архивом как в тот раз, когда на рабочий Email пришло письмо с заказом о сотрудничестве.
Файлы проверки прилагаю.

 

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

Затем:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-1489947668-1260027559-2308567113-1000\...\Run: [MailRuUpdater] => C:\Users\NeW\AppData\Local\Mail.Ru\MailRuUpdater.exe [3532472 2019-03-14] (LLC Mail.Ru -> Mail.Ru) <==== ATTENTION
  HKU\S-1-5-21-1489947668-1260027559-2308567113-1000\...\Run: [mrupdsrv] => C:\Users\NeW\AppData\Local\Mail.Ru\Update Service\mrupdsrv.exe [1314008 2017-08-11] (LLC Mail.Ru -> Mail.Ru)
  HKU\S-1-5-21-1489947668-1260027559-2308567113-1000\...\MountPoints2: {cb6a8aeb-6898-11e8-b569-0cb0c88f1300} - F:\AutoRun.exe
  HKU\S-1-5-21-1489947668-1260027559-2308567113-1000\...\MountPoints2: {f3a945f2-837e-11e8-ba8c-0cb0c88f1300} - F:\AutoRun.exe
  HKU\S-1-5-21-1489947668-1260027559-2308567113-1000\...\MountPoints2: {f3a94625-837e-11e8-ba8c-0cb0c88f1300} - F:\AutoRun.exe
  GroupPolicy: Restriction ? <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  Task: {4B7B5A08-193F-4BA1-BD2F-A766900035BB} - System32\Tasks\MailRuUpdater => C:\Users\NeW\AppData\Local\Mail.Ru\MailRuUpdater.exe [3532472 2019-03-14] (LLC Mail.Ru -> Mail.Ru) <==== ATTENTION
  BHO: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\NeW\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll [2015-11-28] (LLC Mail.Ru -> Mail.Ru)
  CHR NewTab: Default ->  Active:"chrome-extension://bpgangmffjcofiknibcmfjionicohfgj/visual-bookmarks.html"
  CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7BB14867B3-7409-44FF-86C8-A446AC9D3F6D%7D&gp=820333
  CHR DefaultSearchKeyword: Default -> mail.ru_
  CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
  C:\Users\NeW\AppData\Local\Google\Chrome\User Data\Default\Extensions\nbifdkmdojgmpmopdebnjcobekgdoncn
  CHR HKLM\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn] - hxxps://clients2.google.com/service/update2/crx
  2019-06-17 10:16 - 2019-06-17 10:16 - 000000000 __SHD C:\ProgramData\System32
  2019-06-17 10:04 - 2019-06-17 12:42 - 000000000 __SHD C:\ProgramData\Windows
  AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [254]
  AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [290]
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Неужели нужно платить вымогателям?

1. Гарантии расшифровки нет.
2. Вы их стимулируете к дальнейшим выходкам.

есть ли смысл обращаться в правоохранительные органы?

Есть. Известны случаи поимки злодеев, после чего ключи выдаются бесплатно. Жаль этих случаев крайне мало.
Ознакомьтесь со статьей.

 

[chingiz]

Скажите остались ли еще следы от вируса?

 

[Sandor]

Судя по представленным логам, нет.

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[chingiz]

Готово!

 

[Sandor]

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17801 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Дата установки обновлений: 2017-06-01 14:24:38
Учетная запись гостя включена. Пароль не установлен.
------------------------------- [ HotFix ] --------------------------------
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4503292 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
K-Lite Codec Pack 14.4.5 Standard v.14.4.5 Внимание! Скачать обновления
Microsoft .NET Framework 4.6.2 v.4.6.01590 Внимание! Скачать обновления
Microsoft Office - стандартный выпуск версии 2003 v.11.0.5614.0 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
-------------------------------- [ Arch ] ---------------------------------
Архиватор WinRAR Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Shockwave Player + Authorware Web Player v.v12.1.4.154 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Reader 9 - Russian v.9.0.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.74.0.3729.169 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Служба автоматического обновления программ Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Хот-фиксы установите обязательно. Остальное по возможности крайне желательно исправить/обновить.

Читайте Рекомендации после удаления вредоносного ПО