Заражение Trojan-Ransom.BAT.Scatter.ay

[Steel Rain]

Доброго всем времени суток.

 

Вчера по почте мне переслали файлик с якобы исправленным договором, который не открывается. В письме оказалось вложение zip, в котором был файл с двойным расширением *.docx.js. Что, мягко говоря, показалось мне странным. Тем не менее, установленный Kaspersky Endpoint Security 10 (10.1.0.867) на архив не ругнулся. Стал я его проверять на Virustotal и прочих интернет сервисах проверки. Virustotal архив признал не зараженным. А вот распакованный файл из него детектировал как Trojan-Ransom.BAT.Scatter.ay (по версии Касперского). Описания именно этой модификации я не нашел, в связи с этим у меня несколько вопросов: Заразил ли я свой комп? Что эта дрянь делает? и как её лечить? Полная проверка KES ничего не находит пока.

Заранее признателен.

 

P.S. должны мне привезти ноут на котором пытались этот файл открыть. Т.е. там точно его запустили и 100% машинка зараженная. Дайте пожалуйста рекомендации, как с наименьшим ущербом для данных пролечить? Я сразу порекомендовал выключить питание и пока ничего не трогать. Предполагаю, что загружаться в зараженную систему не стоит. Как предотвратить распространение вируса, если загрузиться "снаружи"?

CollectionLog-2015.04.24-09.36.zip

[mike 1]

Заразил ли я свой комп?

Нет.

 

Что эта дрянь делает?

Файлы шифрует. Зашифрованные файлы получают расширение vault.

 

Логи в порядке. 

[Steel Rain]

Благодарю. А что по поводу лечения зараженного компа? Что сделать? Загрузил с флешки MultiBoot 2k10.  Проверил Kaspersky Virus Removal Tool 2011, Dr.Web CureIt!  и avz. Искомый вирус не нашелся. AutoLogger почему-то не хочет работать, говорит что запущен с ограниченными правами, хотя запускаю от имени администратора. Безопасно ли загрузить локальную систему и там запустить проверки?

Может быть есть какие-то характерные признаки? В автозагрузке или в реестре что нибудь, или файлы на дисках? Файлов с расширением *.vault не нашел.

Изменено 24 апреля, 2015 пользователем Steel Rain

[mike 1]

 

 

 А что по поводу лечения зараженного компа? Что сделать?

Лучше собрать логи с этого компьютера.

 

 

 

Может быть есть какие-то характерные признаки? В автозагрузке или в реестре что нибудь, или файлы на дисках?

Все компоненты шифратора прописываются в папку %temp%. 

[Steel Rain]

Не знаю почему, но AutoLogger зависает после avz. Как смог сделал логи вручную. Посмотрите пожалуйста.

0cure.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Program Files (x86)\VK Downloader\UTikzNzHO9.exe','');
 QuarantineFile('C:\Program Files (x86)\advPlugin\8Z1cz8R.exe.exe','');
 DelBHO('{7CE987D5-11B3-44FC-9C3D-03069360D462}');
 DelBHO('{3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6}');
 DelBHO('{1FE48F08-A2AC-44AC-A21C-0556D91C50DA}');
 QuarantineFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','bjqmyzvzui');
 DeleteFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll','32');
 DeleteFile('C:\Program Files (x86)\VK Downloader\K_l9EtqEFc.dll','32');
 DeleteFile('C:\Program Files (x86)\advPlugin\8Z1cz8R.exe.exe','32');
 DeleteFile('C:\Windows\Tasks\Update Service for advPlugin.job','64');
 DeleteFile('C:\Windows\Tasks\Update Service for advPlugin2.job','64');
 DeleteFile('C:\Windows\Tasks\Update Service for VK Downloader.job','64');
 DeleteFile('C:\Windows\Tasks\Update Service for VK Downloader2.job','64');
 DeleteFile('C:\Program Files (x86)\VK Downloader\UTikzNzHO9.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for advPlugin','64');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for advPlugin2','64');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for VK Downloader','64');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for VK Downloader2','64');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Сделайте новые логи Автологгером. 

 

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

[Steel Rain]

Спасибо за рекомендации. Отправить карантин через форму не получилось, послал на мейл. Автологгер в этот раз отработал. Кстати, заметил такую вещь, на первом тесте был запрос о запуске браузеров, написано было что запустится Хром и IE. Хром не запускался, два раза IE стартовал. Это симптом чего то? Farbar Recovery Scan Tool при запуске выдала ошибку (скрин в аттаче), но, тем не менее, запустилась. Прилагаю логи.

Я так понял, что сабжевого зловреда то нет?

CollectionLog-2015.04.24-23.02.zip

FRST.txt

Addition.txt

Изменено 24 апреля, 2015 пользователем Steel Rain

[mike 1]

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
BHO: advPlugin -> {1FE48F08-A2AC-44AC-A21C-0556D91C50DA} -> C:\Program Files (x86)\advPlugin\Toolbar64.dll No File
BHO: VK Downloader -> {3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6} -> C:\Program Files (x86)\VK Downloader\lLcemzEZeK.dll No File
Toolbar: HKU\S-1-5-21-1382966684-1596931327-2424019942-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Extension: Popup Currency Calculator - C:\Users\Serg\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{1B1F6171-E8D6-4F5F-9778-3009CC2748E2} [2015-04-22]
FF Extension: Popup Currency Converter - C:\Users\Serg\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{1FE48F08-A2AC-44AC-A21C-0556D91C50DA} [2015-03-07]
FF Extension: VK Downloader - C:\Users\Serg\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6} [2015-03-12]
CHR Extension: (Стартовая — Яндекс) - C:\Users\Serg\AppData\Local\Google\Chrome\User Data\Default\Extensions\lalfiodohdgaejjccfgfmmngggpplmhp [2014-09-27]
CHR HKLM-x32\...\Chrome\Extension: [cegdomhocaeoedbdpfolmgjkjaijfomo] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx
2015-03-11 18:30 - 2015-03-11 18:30 - 00000258 __RSH () C:\Users\Serg\ntuser.pol
2015-03-07 20:04 - 2015-03-07 20:04 - 00000000 ____D () C:\Users\Serg\AppData\Roaming\VK Downloader
2015-03-07 20:04 - 2015-03-07 20:04 - 00000000 ____D () C:\Users\Serg\AppData\Roaming\advPlugin
2015-03-07 12:23 - 2015-04-24 17:37 - 00000000 ____D () C:\Program Files (x86)\VK Downloader
2015-03-07 12:23 - 2015-03-07 12:23 - 00000258 __RSH () C:\Users\Все пользователи\ntuser.pol
2015-03-07 12:23 - 2015-03-07 12:23 - 00000258 __RSH () C:\ProgramData\ntuser.pol
2015-03-07 12:01 - 2015-03-07 12:01 - 00001418 _____ () C:\Users\Serg\Desktop\Вoйти в Интeрнет.lnk
2015-03-07 12:01 - 2015-03-07 12:01 - 00000000 ____D () C:\Users\Serg\AppData\Local\Вoйти в Интeрнет
2015-03-07 11:57 - 2015-04-24 17:37 - 00000000 ____D () C:\Program Files (x86)\advPlugin
2015-03-07 11:55 - 2015-03-07 11:55 - 00001238 _____ () C:\Users\Serg\Desktop\Поиcк в Интeрнете.lnk
2015-03-07 11:55 - 2015-03-07 11:55 - 00000000 ____D () C:\Users\Serg\AppData\Local\Поиcк в Интeрнете
2014-01-19 19:02 - 2014-01-19 19:02 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
2014-01-19 19:35 - 2014-01-19 19:35 - 0000121 _____ () C:\ProgramData\{1FBF6C24-C1fD-4101-A42B-0C564F9E8E79}.log
2014-01-19 19:31 - 2014-01-19 19:32 - 0000106 _____ () C:\ProgramData\{2A87D48D-3FDF-41fd-97CD-A1E370EFFFE2}.log
2014-01-19 19:32 - 2014-01-19 19:33 - 0000111 _____ () C:\ProgramData\{B0B4F6D2-F2AE-451A-9496-6F2F6A897B32}.log
2014-01-19 19:34 - 2014-01-19 19:35 - 0000108 _____ () C:\ProgramData\{B46BEA36-0B71-4A4E-AE41-87241643FA0A}.log
2014-01-19 19:30 - 2014-01-19 19:31 - 0000107 _____ () C:\ProgramData\{C59C179C-668D-49A9-B6EA-0121CCFC1243}.log

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

[Steel Rain]

Спасибо. Что то ещё нужно сделать?

Запрос по карантину зарегистрирован KLAN-2712050310  пока так:

ErrSite.JPG,
app_icon.ico,
HD-LogRotatorService.ni.exe,
HD-UpdaterService.ni.exe,
lyncDesktopResources.dll,
MAPIR.DLL,
mvusbews.DLL,
OLMAPI32.DLL

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

klvfs.sys,
System.Runtime.Remoting.ni.dll,
System.Runtime.Serialization.Formatters.Soap.ni.dll,
System.Web.ni.dll,
Uninstall.exe

Вредоносный код в файлах не обнаружен.

Fixlog.txt

Изменено 24 апреля, 2015 пользователем Steel Rain

[mike 1]

• Скачайте DelFix и сохраните утилиту на Рабочем столе

• Запустите DelFix

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

• Нажмите на кнопку Run

• После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt

• Прикрепите этот отчет в вашей теме.

 

 

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

 

 

[Steel Rain]

При работе утилиты delfix_10.9 возникла такая же ошибка как и при запуске FRST64 (скрин в аттаче).

Из лаборатории пока ответа нет по карантину.

DelFix.txt

SecurityCheck.txt

Изменено 25 апреля, 2015 пользователем Steel Rain

[mike 1]

На этом все.