Вадим Шапошников 0 Опубликовано 23 июня, 2016 Share Опубликовано 23 июня, 2016 Словили и мы шифровальщик. Отправил запрос из личного кабинета, но, наверное, там таких как я много. Может тут поможете: Win7 Pro, 32 бит. Антивирус 6.04.1424 22.06.2016 в 16.05 По эл.почте был получен (и выполнен) скрипт, содержащий шифровальщик Код-Да-Винчи. В результате зашифрованы вск данные. Резервной копии, разумеется нет. В антивирусе функция "Проактивная защита" ("Анализ активности" и "Мониторинг реестра" ) выключены.На всякий случай пока не запускал никаких утилит лечения-восстановления. Прикладываю образцы зашифрованных файлов и РЕАДМИ в архиве и логи Буду признателен за помощь. Desktop.rar CollectionLog-2016.06.23-12.27.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 23 июня, 2016 Share Опубликовано 23 июня, 2016 1. Kaspersky Anti-Virus 6.0 for Windows Workstations MP4 давно пора обновить до KES102. по поводу расшифровки продолжайте общаться с ТП. помочь могут только они.3. Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('c:\programdata\windows\csrss.exe'); TerminateProcessByName('c:\program files\common files\baidu\baiduprotect1.3\1.3.0.443\baiduprotect.exe'); SetServiceStart('BDSafeBrowser', 4); SetServiceStart('BDEnhanceBoost', 4); SetServiceStart('bd0002', 4); SetServiceStart('BDMWrench', 4); SetServiceStart('BDArKit', 4); SetServiceStart('bd0004', 4); SetServiceStart('bd0001', 4); SetServiceStart('BDSGRTP', 4); StopService('BDMWrench'); StopService('BDArKit'); StopService('bd0004'); StopService('bd0001'); StopService('BDSGRTP'); QuarantineFile('C:\Users\КудлаеваО.VSLK\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4IDMPJLG\StartInstallLite.exe',''); QuarantineFile('C:\PROGRA~2\Mozilla\hhthlcc.exe',''); QuarantineFile('C:\Windows\system32\DRIVERS\bd0002.sys',''); QuarantineFile('c:\users\кудлаевао.vslk\appdata\local\temp\A907D8C80.sys',''); QuarantineFile('c:\users\КудлаеваО.vslk\appdata\local\temp\23682839.sys',''); QuarantineFile('c:\programdata\windows\csrss.exe',''); QuarantineFile('c:\program files\common files\baidu\baiduprotect1.3\1.3.0.443\baiduprotect.exe',''); DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\ad.dll','32'); DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDKitUtils.dll','32'); DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDLogicUtils.dll','32'); DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDMNet.dll','32'); DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDMReport.dll','32'); DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\bdsg0001.dll','32'); DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\DriverManager.dll','32'); DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\plugins\BaiduRepair.dll','32'); DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\plugins\HIPS.dll','32'); DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\SafeBrowserDll.dll','32'); DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\SafeExplorer.dll','32'); DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys','32'); DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BaiduProtect.exe','32'); DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\BDEnhanceBoost.sys','32'); DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','32'); DeleteFile('C:\Program Files\BaiduAn3.0\BaiduAn\3.0.0.3971\BaiduAnTray.exe','32'); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); DeleteFile('C:\Windows\system32\Tasks\kmblcbd','32'); DeleteFile('C:\PROGRA~2\Mozilla\hhthlcc.exe','32'); DeleteFile('C:\Windows\system32\Tasks\{2A8F50EB-30C1-4DDB-A721-6F29C11572ED}','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','BaiduAnTray'); RegKeyParamDel('HKEY_USERS','S-1-5-21-1035533968-4111419254-2226832984-1132\Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); DeleteService('BDSafeBrowser'); DeleteService('BDEnhanceBoost'); DeleteService('bd0002'); DeleteService('BDMWrench'); DeleteService('BDArKit'); DeleteService('bd0004'); DeleteService('bd0001'); DeleteService('BDSGRTP'); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys'); BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys'); BC_DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys'); BC_DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys'); BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BaiduProtect.exe'); BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys'); BC_DeleteFile('C:\Windows\system32\DRIVERS\BDEnhanceBoost.sys'); BC_DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys'); BC_DeleteFile('C:\Program Files\BaiduAn3.0\BaiduAn\3.0.0.3971\BaiduAnTray.exe'); BC_DeleteFile('C:\ProgramData\Windows\csrss.exe'); BC_DeleteFile('C:\PROGRA~2\Mozilla\hhthlcc.exe'); BC_DeleteSvc('BDSGRTP'); BC_DeleteSvc('bd0001'); BC_DeleteSvc('bd0004'); BC_DeleteSvc('BDArKit'); BC_DeleteSvc('BDMWrench'); BC_Activate; ExecuteWizard('TSW',2,3,true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin DeleteFile('Qurantine.zip',''); ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через портал Kaspersky Online Scanner. Порядок действий на портале Kaspersky Online Scanner:: 1) Нажмите "Выбрать файл" и укажите путь к архиву. 2) После проверки нажмите на "Не согласиться с результатом", выберите "Получить уведомление о доставке файла" и укажите адрес своей электронной почты. 3) Нажмите "Отправить". Полученный через электронную почту ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=1f4631aa18446dacf5cca80e10d84aa8&text= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=1f4631aa18446dacf5cca80e10d84aa8&text= O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=1f4631aa18446dacf5cca80e10d84aa8&text= приложите новые логи автологгера и логи FRST http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696 Цитата Ссылка на сообщение Поделиться на другие сайты
Вадим Шапошников 0 Опубликовано 24 июня, 2016 Автор Share Опубликовано 24 июня, 2016 (изменено) Все выполнил. Техподдержка пока молчит Ответ от ОнлайнСканера: Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.csrss.exe,baiduprotect.exeПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.С уважением, Лаборатория Касперского Новые логи: CollectionLog-2016.06.24-09.41.zip Addition.txt FRST.txt Shortcut.txt Изменено 24 июня, 2016 пользователем mike 1 Карантин в теме Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 24 июня, 2016 Share Опубликовано 24 июня, 2016 Антивирус 6.04.1424 К этому старью уже базы не выпускают, но находятся люди, которые до последнего на нем сидят, а потом плачут, что их файлы зашифровались. Обновляйтесь до KES 10. Цитата Ссылка на сообщение Поделиться на другие сайты
Вадим Шапошников 0 Опубликовано 24 июня, 2016 Автор Share Опубликовано 24 июня, 2016 Антивирус 6.04.1424 К этому старью уже базы не выпускают, но находятся люди, которые до последнего на нем сидят, а потом плачут, что их файлы зашифровались. Обновляйтесь до KES 10. Ага, я нашелся!!! Однако, базы обновлялись успешно. Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 24 июня, 2016 Share Опубликовано 24 июня, 2016 Антивирус 6.04.1424 К этому старью уже базы не выпускают, но находятся люди, которые до последнего на нем сидят, а потом плачут, что их файлы зашифровались. Обновляйтесь до KES 10. Ага, я нашелся! Однако, базы обновлялись успешно. Базы не тестируются. Если у вас рухнет система после некорректного обновления, то виноваты только вы будете, т.к. эта версия антивируса уже давно снята с поддержки, да и бесполезна она против шифровальщиков. Можете считать, что данный момент в вашей организации нет антивируса. Цитата Ссылка на сообщение Поделиться на другие сайты
Вадим Шапошников 0 Опубликовано 24 июня, 2016 Автор Share Опубликовано 24 июня, 2016 (изменено) OK! Версию антивируса поменяем. Вопрос: KES10 защищает от шифровальщиков? Есть смысл в доп программах, типа CryptoPrevent? Получил ответ от техподдержки. Если кратко, то "Держитесь! Всего вам доброго, хорошего настроения и здоровья!". Т.е. рекомендовано сменить версию антивируса и сохранять зашифрованные файлы до лучших времен. Так и поступим. Роману и Майку - спасибо за поддержку и помощь! Изменено 24 июня, 2016 пользователем Вадим Шапошников Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 25 июня, 2016 Share Опубликовано 25 июня, 2016 (изменено) Вопрос: KES10 защищает от шифровальщиков? Отвечаю: Модуль "Мониторинг системы" будет работать примерно так в случае, если несколько файлов успеет зашифроваться Изменено 25 июня, 2016 пользователем mike 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.