voidcrypt Шифровальщик (filescoder@tutanota.com).Zendaya

[Evgen_V]

Здравствуйте, 28.05 зашифровались все файлы и присвоилось расширение (filescoder@tutanota.com).Zendaya, на тот момент был установлен и работает до сих пор Kaspersky Endpoint Security 11 v.11.9.0.351 (Лицензия), очень прошу помощи!

Addition.txt FRST.txt зашифрованные файлы.rar

[Sandor]

Здравствуйте!

 

Перепакуйте, пожалуйста, архив "зашифрованные файлы", только вместо файла Decryption-Guide.HTA добавьте туда файл Decryption-Guide.txt

[Evgen_V]

зашифрованные файлы.rar

[Sandor]

К сожалению, это VoidCrypt, расшифровки нет.

В системе, судя по логам, дыра, через которую злоумышленник проник и вручную остановил антивирус и запустил шифрование.

 

Смените пароли администраторов и на доступ по RDP.

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  IFEO\displayswitch.exe: [Debugger] 6999262721557146412789726587146471255412306166122466822810.bat
  IFEO\sethc.exe: [Debugger] C:\Windows\reg\REBE1l.exe
  IFEO\utilman.exe: [Debugger] 6999262721557146412789726587146471255412306166122466822810.bat
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Decryption-Guide.HTA [2022-05-28] () [Файл не подписан]
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Decryption-Guide.txt [2022-05-28] () [Файл не подписан]
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\filescoder@tutanota.com.exe.(MJ-GE6079812435)(filescoder@tutanota.com).Zendaya [2022-05-28] () [Файл не подписан]
  Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption-Guide.HTA [2022-05-28] () [Файл не подписан]
  Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption-Guide.txt [2022-05-28] () [Файл не подписан]
  2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Windows\Tasks\Decryption-Guide.HTA
  2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Windows\SysWOW64\Drivers\Decryption-Guide.HTA
  2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Windows\SysWOW64\Decryption-Guide.HTA
  2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\Downloads\Decryption-Guide.HTA
  2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\Desktop\Decryption-Guide.HTA
  2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decryption-Guide.HTA
  2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\AppData\LocalLow\Decryption-Guide.HTA
  2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\AppData\Local\Temp\Decryption-Guide.HTA
  2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\AppData\Local\Apps\Decryption-Guide.HTA
  2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\AppData\Decryption-Guide.HTA
  2022-05-28 12:30 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Public\Downloads\Decryption-Guide.HTA
  2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Windows\Tasks\Decryption-Guide.txt
  2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Windows\SysWOW64\Drivers\Decryption-Guide.txt
  2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Windows\SysWOW64\Decryption-Guide.txt
  2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\Downloads\Decryption-Guide.txt
  2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\Desktop\Decryption-Guide.txt
  2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decryption-Guide.txt
  2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\AppData\LocalLow\Decryption-Guide.txt
  2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\AppData\Local\Temp\Decryption-Guide.txt
  2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\AppData\Local\Apps\Decryption-Guide.txt
  2022-05-28 12:30 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\AppData\Decryption-Guide.txt
  2022-05-28 12:29 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\Documents\Decryption-Guide.HTA
  2022-05-28 12:29 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Decryption-Guide.HTA
  2022-05-28 12:29 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Администратор\AppData\Roaming\Decryption-Guide.HTA
  2022-05-28 12:29 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Public\Documents\Decryption-Guide.HTA
  2022-05-28 12:29 - 2022-05-28 12:30 - 000002957 _____ C:\Users\Public\Desktop\Decryption-Guide.HTA
  2022-05-28 12:29 - 2022-05-28 12:30 - 000002957 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Decryption-Guide.HTA
  2022-05-28 12:29 - 2022-05-28 12:30 - 000002957 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Decryption-Guide.HTA
  2022-05-28 12:29 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\Documents\Decryption-Guide.txt
  2022-05-28 12:29 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Decryption-Guide.txt
  2022-05-28 12:29 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Администратор\AppData\Roaming\Decryption-Guide.txt
  2022-05-28 12:29 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Public\Documents\Decryption-Guide.txt
  2022-05-28 12:29 - 2022-05-28 12:30 - 000001088 _____ C:\Users\Public\Desktop\Decryption-Guide.txt
  2022-05-28 12:29 - 2022-05-28 12:30 - 000001088 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Decryption-Guide.txt
  2022-05-28 12:29 - 2022-05-28 12:30 - 000001088 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Decryption-Guide.txt
  2022-05-28 12:29 - 2022-05-28 12:29 - 000002957 _____ C:\Users\Администратор\Decryption-Guide.HTA
  2022-05-28 12:29 - 2022-05-28 12:29 - 000002957 _____ C:\Users\Public\Decryption-Guide.HTA
  2022-05-28 12:29 - 2022-05-28 12:29 - 000002957 _____ C:\Program Files\Common Files\Decryption-Guide.HTA
  2022-05-28 12:29 - 2022-05-28 12:29 - 000001088 _____ C:\Users\Администратор\Decryption-Guide.txt
  2022-05-28 12:29 - 2022-05-28 12:29 - 000001088 _____ C:\Users\Public\Downloads\Decryption-Guide.txt
  2022-05-28 12:29 - 2022-05-28 12:29 - 000001088 _____ C:\Users\Public\Decryption-Guide.txt
  2022-05-28 12:29 - 2022-05-28 12:29 - 000001088 _____ C:\Program Files\Common Files\Decryption-Guide.txt
  2022-05-28 12:28 - 2022-05-28 12:30 - 000002957 _____ C:\ProgramData\Decryption-Guide.HTA
  2022-05-28 12:28 - 2022-05-28 12:30 - 000001088 _____ C:\ProgramData\Decryption-Guide.txt
  2022-05-28 12:28 - 2022-05-28 12:28 - 000002957 _____ C:\Windows\Decryption-Guide.HTA
  2022-05-28 12:28 - 2022-05-28 12:28 - 000002957 _____ C:\Users\Decryption-Guide.HTA
  2022-05-28 12:28 - 2022-05-28 12:28 - 000002957 _____ C:\Program Files\Decryption-Guide.HTA
  2022-05-28 12:28 - 2022-05-28 12:28 - 000002957 _____ C:\Program Files (x86)\Decryption-Guide.HTA
  2022-05-28 12:28 - 2022-05-28 12:28 - 000001088 _____ C:\Windows\Decryption-Guide.txt
  2022-05-28 12:28 - 2022-05-28 12:28 - 000001088 _____ C:\Users\Decryption-Guide.txt
  2022-05-28 12:28 - 2022-05-28 12:28 - 000001088 _____ C:\Program Files\Decryption-Guide.txt
  2022-05-28 12:28 - 2022-05-28 12:28 - 000001088 _____ C:\Program Files (x86)\Decryption-Guide.txt
  File: C:\Windows\SysWOW64\6999262721557146412789726587146471255412306166122466822810.bat
  C:\Windows\SysWOW64\6999262721557146412789726587146471255412306166122466822810.bat
  File: C:\Windows\reg\REBE1l.exe
  C:\Windows\reg\REBE1l.exe
  FirewallRules: [{611725C6-1808-4578-ACE7-EC74C81D00D1}] => (Allow) LPort=475
  FirewallRules: [{A7341682-6890-418E-B43C-00E25AD62F50}] => (Allow) LPort=475
  FirewallRules: [{E1A0503B-980E-45BD-AF1A-51A3FBFF687C}] => (Allow) LPort=1346
  FirewallRules: [{F0E5E321-F5A3-4FAC-97A4-440FA857A880}] => (Allow) LPort=1344
  FirewallRules: [{EA36EC14-FD47-43F0-BD8A-42D55C5B90FE}] => (Allow) LPort=1345
  FirewallRules: [{DE656C7A-3A7B-40E7-80E2-EFF44FB18E02}] => (Allow) LPort=1347
  FirewallRules: [{F430101B-B5F9-4B21-B1CB-6BEB0DD31697}] => (Allow) LPort=135
  FirewallRules: [{78582AF1-6CB2-4070-A42F-B5ACB25F06DB}] => (Allow) LPort=9422
  FirewallRules: [{BC978E27-DE4C-45F1-8208-F5A706D06354}] => (Allow) LPort=9245
  FirewallRules: [{3C3084C6-376C-4EDD-8839-BEA9CE9F2896}] => (Allow) LPort=9246
  FirewallRules: [{C4D326DC-2C33-46B0-BC9A-DC61CDDDA339}] => (Allow) LPort=9247
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

[Evgen_V]

Fixlog.txt

[Sandor]

Уязвимые места системы можете проверить так:

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.