Вирус-шифровальщик, расширение файлов .QUIETPLACE

[elsca2022]

19.12.2022 между 12:45 и 14:00 компьютер с Windows 10 был поражён шифровальщиком, все файлы получили расширение .QUIETPLACE

Также вирус проник на другой компьютер локальной сети с папками, расшаренными на полный доступ для поражённого. В них файлы также получили расширение .QUIETPLACE, файлы на втором компьютере в папках, которые не были расшарены, не затронуты. На поражённом компьютере осталось открытым окно программы «Advanced Port Scanner» со списком расшаренных папок.

На первом поражённом компьютере защиты, кроме стандартной Windows, не было (возможно, были попытки установить какой-либо антивирус до атаки или после неё). Позже один из сотрудников просканировал систему с помощью CureIt. Был обнаружен, предположительно, источник заражения, и перемещён в карантин. До этого момента (предположительно) шифрование файлов на втором компьютере продолжалось — некоторые фалы во вложенных папках не были зашифрованы сразу, часть файлов на втором компьютере после предположительного устранения источника заражения осталась незатронутой. На втором компьютере стоял антивирус Kaspersky Free, он отметил атаку по сети (сканирование портов).

Зашифрованный файл можно открыть «блокнотом», там можно прочитать требования вымогателей.

Далее было проведено сканирование FRST64. Логи Additional.txt и FRST.txt прикрепляю к сообщению.

Также прикрепляю два зашифрованных файла в архиве QUIETPLACE.rar и фото с экрана поражённого компьютера при обнаружении атаки.

По требованию могу отправить в архиве с паролем предположительный источник заражения.

 

 

QUIETPLACE.rar Addition.txt FRST.txt

Изменено 19 декабря, 2022 пользователем elsca2022

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      

   CreateRestorePoint:
   IFEO\agntsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\AutodeskDesktopApp.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\axlbridge.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\bedbh.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\benetns.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\bengien.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\beserver.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\CoreSync.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\Creative Cloud.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\dbeng50.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\dbsnmp.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\encsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\EnterpriseClient.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\fbguard.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\fbserver.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\fdhost.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\fdlauncher.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\httpd.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\isqlplussvc.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\java.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\msaccess.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\MsDtSrvr.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\msftesql.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\mspub.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\mydesktopqos.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\mydesktopservice.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\mysqld-nt.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\mysqld-opt.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\mysqld.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\node.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\ocautoupds.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\ocomm.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\ocssd.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\oracle.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\pvlsvr.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\python.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\QBDBMgr.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\QBDBMgrN.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\QBIDPService.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\qbupdate.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\QBW32.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\QBW64.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\Raccine.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\RaccineElevatedCfg.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\RaccineSettings.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\Raccine_x86.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\RAgui.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\raw_agent_svc.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\SimplyConnectionManager.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\sqbcoreservice.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\sql.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\sqlagent.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\sqlbrowser.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\sqlmangr.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\sqlservr.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\sqlwriter.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\Ssms.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\Sysmon.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\Sysmon64.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\tbirdconfig.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\tomcat6.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\vsnapvss.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\vxmon.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\wdswfsafe.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\wpython.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\wsa_service.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\wxServer.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\wxServerView.exe: [Debugger] C:\Windows\System32\Systray.exe
   IFEO\xfssvccon.exe: [Debugger] C:\Windows\System32\Systray.exe
   File: C:\Windows\System32\Systray.exe
   Folder: C:\Users\Sergey\Desktop\

   
   
   

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
   

4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
   

 

Пришлите C:\Decrypt_me.txt

[elsca2022]

Высылаю Fixlog.txt и Decrypt_me.txt

Архива *.zip не было

Изменено 20 декабря, 2022 пользователем elsca2022

[mike 1]

Коммерческая лицензия на Антивирус Касперского имеется?

[elsca2022]

2 минуты назад, mike 1 сказал:

Коммерческая лицензия на Антивирус Касперского имеется?

Нет, только Kaspersky Security Cloud Free

[mike 1]

На форуме с расшифровкой пока помочь не можем. Смените все пароли. Проведите аудит вашей ИТ инфраструктуры. 

[elsca2022]

20 минут назад, mike 1 сказал:

На форуме с расшифровкой пока помочь не можем. Смените все пароли. Проведите аудит вашей ИТ инфраструктуры. 

Спасибо. Сменим.

Будем осторожнее