crysis [РЕШЕНО] шифровальщик LDPR

[jeanjean]

Зашифрованы файлы и программы кроме системных.

Приложил лог

приложил сообщение

приложил зашифрованый файл и он же не зашифрованный

CollectionLog-2019.04.22-17.13.zip

FILES ENCRYPTED.txt

fileAndCrypted.rar

[SQ]

Здравствуйте,

Шифровальщик похоже на новый вариант Dharma (семейство CrySiS) на данный момент неизвестны удачные случая расшифровки.

Если хотите, очистить остатки, то предоставьте следующий лог:


- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Сообщите, пожалуйста если у Вас сохранился сам шифровальщик (вредоносное ПО которое привело к шифрованию файлов, предположительно notepad.exe)?

[jeanjean]

RansomwareFileDecryptor 1.0.1668 MUI - определил как CRYSIS, но ни одного файла расшифровать не смог

не уверен сохранился ли. Где его искать? KVRT нашел только трояна в памяти.

FarBar.rar

[SQ]

На сервере обнаружены остатки от антивируса Avast, воспользуйтесь утилитой avast remover для их удаления.

U0 aswVmm; no ImagePath

Попробуйте уточнить у пользователя nata, что она запускала перед появлением проблемы? Как вариант письмо в почте, либо какую-то скачанную программу и т.п. В некоторых случаях это результат взлома сервера, если он дступен из вне и использовался легкий к подбору пароль.

 

 

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  Start::
  CreateRestorePoint:
  2019-04-21 17:51 - 2019-04-21 17:51 - 000013914 _____ D:\Users\nata\AppData\Roaming\Info.hta
  2019-04-21 17:51 - 2019-04-21 17:51 - 000000208 _____ D:\FILES ENCRYPTED.txt
  File: D:\Users\Public\Desktop\avast_free_antivirus_setup_online.exe
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что сервер возможно будет перезагружен.

[jeanjean]

С авастом только завтра смогу, я сейчас в удаленке.

Сервер извне напрямую недоступен, но похоже что Вы правы относительно взлома. Пользователь nata не используется (по крайней мере не должен), но его рабочий каталог заражен (у остальных пользователей - нет)

к тому же время в воскресенье вечером, бюджетная контора

Fixlog.txt

[SQ]

проверьте пожалуйста следующий файл на независимой системе https://www.virustotal.com

D:\Users\Public\Desktop\avast_free_antivirus_setup_online.exe

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  Start::
  CreateRestorePoint:
  2019-04-21 17:51 - 2019-04-21 17:51 - 000013914 _____ D:\Users\nata\AppData\Roaming\Info.hta
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что сервер возможно будет перезагружен.

[jeanjean]

по поводу файла - undetected

это hta-файл я ненароком запустил, уведомление о заражении увидел

Fixlog.txt

[SQ]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

[jeanjean]

Однако много лопатила программа

SERV-BUH_2019-04-22_21-58-18_v4.1.4.7z

[SQ]

Однако много лопатила программа

Речь о шифровальщике?

 

Вам знакома следующее приложение?

 

%SystemDrive%\USERS\IRINA\APPDATA\LOCAL\CMSCLIENTNG\CMSCLIENTNG.EXE

В логах шифровальщика не нашел.

P.S. В большенстве случаев при запросе на расшифровку в тех. поддержку Лаборатории Касперского без шифровальщика не будет положителен.

[jeanjean]

Образ автозапуска и сохранение файла неожиданно для меня долго делался.

cms... - это одна из приблуд казначейства (или налоговиков) для работы с ключами доступа и сертификатами

[SQ]

cms... - это одна из приблуд казначейства (или налоговиков) для работы с ключами доступа и сертификатами

Хорошо, видимо у стороннего антивируса (Symantec) на него - ложное срабатывание.

 

Я воспользовался случаем (квотой на запрос) создал запрос по вашей проблеме в тех. поддержку в Лабораторию Касперского (ID #INC000010384105). Однако гарантировать какой-то положительный исход не могу.

P.S. Ответ может занять около 2-10 дней в зависимости от загруженности тех. поддержки. Если у Вас есть лицензия на продукты различных антивирусных вендоров то пробуйте создать запрос сами.

[jeanjean]

Спасибо

я тут посмотрел логи, таки целенаправленный подбор имен и паролей шел. Там в приложении даже ip, который отдали оставлен. Причем программа даже не заморачивалась, что вход уже получен, продолжала долбить другие варианты.

А утром нашел еще тему англоязычную, с теми же параметрами заражения, что у меня: https://www.bleepingcomputer.com/forums/t/696218/infected-win-7-mrcryptaolcomldpr/ - компашка в воскресенье поработала на славу.

Это так, вдруг чем поможет.

[SQ]

Спасибо

я тут посмотрел логи, таки целенаправленный подбор имен и паролей шел. Там в приложении даже ip, который отдали оставлен. Причем программа даже не заморачивалась, что вход уже получен, продолжала долбить другие варианты.

А утром нашел еще тему англоязычную, с теми же параметрами заражения, что у меня: https://www.bleepingcomputer.com/forums/t/696218/infected-win-7-mrcryptaolcomldpr/ - компашка в воскресенье поработала на славу.

Это так, вдруг чем поможет.

Если вам это ip-адрес не знаком, то попробуйте также обратиться в полицию, в случае если злоумышлинник забыл скрыть свой ip-адрес или зачистить логи подключений (как они обыно делают).

 

P.S. Обычно когда ловят злоумышлинников у них не остается других возможностей как идти на сделку с правосудием.

[SQ]

Пришел ответ касаемо инцидента (ID #INC000010384105) к сожалению на данный момент помочь не могут.