Trojan:Win32/Wacatac.D!ml

[Вячеслав Александрович]

Доброй ночи, сутки уже бьюсь с этим умным вирусом дистанционно по rdp )

вирус

 - блокирует установку любых антивирусов

 - скрывает любые файлы и ставит защиту с если в именах есть различные слова типа antivirus, avg, kaspersky, avast и т.д. набор большой перепробовал уже больше 10ка утилит и антивирусов, переименовав установщик что то получается запустить но программы начинают устанавливаться в свои типичные папки, например касперский вылетает, потому что не может, что то поставить в свою папку в с:\ProgramData   и т.д.

вирус автостартует, из скрытой и заблокированной папки C:\Windows\SysWOW64\Radiance, на которую указывал один из подозрительных процессов, доступ к папке удалось получить только через r.saver !!! методом посекторного сканирования с востановлением структуры папок, в итоге там запускной троян wizard.exe который запускает пакетный файл на сканирование узлов в интернете на доступ по rdp на порт 3389 (кстати обилие-тысячи таких запросов в минуту в фаерволе и забивание канала и стала причиной расследования) 

-так же было обнаружено 2 задачи в планировщике замаскированные под googleupdate, но ссылались на эту папку C:\Windows\SysWOW64\Radiance, их пока удалось почистить, но  продолжаю искать способ удаления вируса дистанционно и где откуда он стартует, 

в папке C:\Windows\SysWOW64\Radiance еще 2 папки Alpha и Omega 

в Alpha промежуточные служебные файлы которые запускает wizard.exe по цепочке -> csrss.exe -> service.exe ->conhost.exe 

так же в альфу складываются логи работы по опросу и берется список IP сетей из текстовых файлов

в папке Omega так же лежит пара копий service.exe и судя по всему утилита шифрования gpg.exe с ключами шифрования в папке keyring

 

ссылку на логи FarBar и подробные картинки выложил в архиве вот на обачном диске и прикрепил к сообщению

https://mega.nz/file/c650BQqQ#e3i5tVExz_TT72LPxbdEmL2qtjw21JETe5s4rJRtJFo

 

если нужно могу выслать все файлы самого вируса, через r.saver удалось сделать копии ))

 

Проще было бы уже винду переустановить, или снять хард и грохнуть всю эту заразу с другого пк, но любопытство победить дистанционно одолевает )), поможете в борьбе?

 

p.s. на текущий момент после убийства всех процессов  wizard.exe -> csrss.exe -> service.exe ->conhost.exe   и удаления задач в планировщике, вирус не рестартует, но он запустится после перезагрузки ОС, уверен на 100%

 

 

вирус1.zip

Изменено 16 июля, 2020 пользователем Вячеслав Александрович

[mike 1]

Похвально, но по правилам раздела требуются другие логи Порядок оформления запроса о помощи

[Вячеслав Александрович]

Вирус очень хитрый, я много десятков разных повидал в боевых условиях, но этот прям вызывает восхищение :)))
ок по пунктам:

1) как уже писал выше при скачивании/копировании файлов на зараженный пк любого из антивирусов с типичным названием файла
Kaspersky Virus Removal Tool 2015;

avg,avast,avira,panda,comodo,norton  и т.д (проверено уже больше десятка).....

мы получаем  сообщение

 

Отдельное уважение утилите cureit - это единственный продукт, который при загрузке генерирует рандомное имя!

Остальные утилиты пришлось ручками на другом компе переименовывать и закачивать по RDP

Но увы вирус всё равно умнее т.к. знает о этих всех продуктах!

 

В частности Утилита Касперского  KVRT при запуске вылетает с сообщением

 

А cureit хоть и стартует, но имеем неактивную кнопку, потому что вирус видимо убивает распакованный файл с информацией о лицензии, которая там должна быть.

 

Всё запускалось с правами администратора!

 

 

 

[Sandor]

@Вячеслав Александрович, если в следующем сообщении не будет логов по правилам, тему закроем.

[Вячеслав Александрович]

И да кстати, не упомянул ночью, что это связка вирусов и хак тулов, в первом посте я писал уже про папки альфа и омегу так вот виндовс дефендер(на другом пк )выдали вот такие спецификации вирусов

[Вячеслав Александрович]

3 минуты назад, Sandor сказал:

@Вячеслав Александрович, если в следующем сообщении не будет логов по правилам, тему закроем.

Да подождите сейчас отправлю

[Вячеслав Александрович]

В общем, что и следовало ожидать, вирус знает и про AutoLogger, пришлось так же переименовывать запускной файл из архива, но после запуска и нажатия ОК 

 

выдал

 

Изменено 16 июля, 2020 пользователем Вячеслав Александрович

[Sandor]

Соберите отчёты этой версией Автологера.

[Вячеслав Александрович]

Есть прогресс, с этой версией дошел до 3% )), но думаю вирус видит подпапку AVZ и блокирует

  

 

провел тест, создал текстовый файл на раб. столе и попытался переименовать, нажимаем ок и файл пропадает из поля видимости

[Sandor]

Хорошо, пойдем другим путем:

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   

Подробнее читайте в руководстве Как подготовить лог UVS.
  Изменено 16 июля, 2020 пользователем Sandor