Arena virus

[piiv 0]

Здравствуйте.

Шифровальщик, похожий на описанный здесь: http://myspybot.com/arena-ransomware/

зашифровал файлы на сервере. Посоветуйте что делать.

 

По видимому файл был скачан и запущен еще 07.07.2017, но шифрование началось вечером 28.08.2017 и утром 29.08.2017

CollectionLog-2017.08.29-23.40.zip

[thyrex 1 468]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\info.exe','');
 QuarantineFile('c:\windows\system32\info.exe','');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\info.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\info.exe','');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Info.hta','');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\info.exe','');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\info.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','info.exe');
 DeleteFile('C:\Windows\System32\Info.hta','32');
 DeleteFile('C:\Users\pnr\AppData\Roaming\Info.hta','32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Администратор\AppData\Roaming\Info.hta');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\info.exe','32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\info.exe','32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','32');
 DeleteFile('c:\windows\system32\info.exe','32');
 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\info.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[piiv 0]

Собрал все логи.

quarantine.zip отправил на newvirus@kaspersky.com.  Получил сообщение, что логи отправлены на исследование.

 

Строгое предупреждение от модератора Mark D. Pearlstone

quarantine.zip не нужно загружать на форум.

Есть смысл запускать ваш дешифровальщик? Вчера находил его где-то на ваших сайтах. Там как раз упоминался вирус Crusis.

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В следующих файлах обнаружен вредоносный код:

info.exe - Trojan-Ransom.Win32.Crusis.to info_0.exe - Trojan-Ransom.Win32.Crusis.to info_1.exe - Trojan-Ransom.Win32.Crusis.to info_2.exe - Trojan-Ransom.Win32.Crusis.to info_3.exe - Trojan-Ransom.Win32.Crusis.to

 

В антивирусных базах информация по присланным вами файлам отсутствует:

Info.hta

Info_0.hta

Info_1.hta

 

Перечисленные файлы имеют безопасный формат и не могут быть вредоносными:

image001.png

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

               

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ

 

"Ленинградское шоссе 39A/3, Москва, 125212, Russia

Телефон/Факс: + 7 (495) 797 8700

http://www.kaspersky.com https://www.securelist.com"

 

--------------------------------------------------------------------------------

From: 

Sent: 8/30/2017 9:53:00 AM

To: newvirus@kaspersky.com

Subject: Вирус шифровальщик

 

 

С уважением,

       Иван Пивоваров

 

 тел.: 8 (495) 587-87-36 (доб. 4931)

[cid:image001.png@01D223BC.5C4671B0]

KLAN-6730584671

CollectionLog-2017.08.30-10.07.zip

[thyrex 1 468]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[piiv 0]

Логи  Farbar Recovery Scan Tool

FRST64.zip

[thyrex 1 468]

Ужас, все еще хуже запущено, чем можно было ожидать.

 

У Вас поработали одновременно (последовательно) от 2 до 3-4 шифраторов. CrySis (arena) только один из них.

 

Увы, с расшифровкой помочь не сможем.

 

C:\Users\pnr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\info.exe удалите вручную, если найдется