Шифровальщик maxcrypt@foxmail2

[TWiM]

День добрый, поймали шифровальщика maxcrypt@foxmail2, через почту, открыли и соответственно получили заражение системы. Если быть точнее зашифрованы почти все файлы с расширением docx и jpg. Скорее всего файл шифровальщика сохранился. Отчет прилагается. Заранее благодарю за содействие в проблеме, спасибо.

CollectionLog-2015.12.10-12.03.zip

[Sandor]

Здравствуйте!
 
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
 
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe', '');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14699\brenasa.exe', '');
 QuarantineFile('C:\Users\Я Любимая!\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lock.bmp', '');
 QuarantineFile('C:\Users\Я Любимая!\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Письмо_Роспотребнадзора_от_11.10.2015_№_9730-95-2766_О_постановлении.exe', '');
 QuarantineFile('C:\Users\Я Любимая!\appdata\roaming\closer.exe', '');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe', '32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14699\brenasa.exe', '32');
 DeleteFile('C:\Users\Я Любимая!\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lock.bmp', '32');
 DeleteFile('C:\Users\Я Любимая!\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Письмо_Роспотребнадзора_от_11.10.2015_№_9730-95-2766_О_постановлении.exe', '32');
 DeleteFile('C:\Users\Я Любимая!\appdata\roaming\closer.exe', '32');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
 

 
Компьютер перезагрузится. 
 
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com
 
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
 
 
Повторите логи по правилам. 

[TWiM]

KLAN-3429847084

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

lock.bmp

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

Письмо_Роспотребнадзора_от_11.10.2015_№_9730-95-2766_О_постановлении.exe - Trojan-Ransom.Win32.Aura.zi

Детектирование файла будет добавлено в следующее обновление.

closer.exe - not-a-virus:AdWare.Win32.SmileOnline.c

Это файл от рекламной системы. Детектирование файла будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdates

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

___________________________________________________________________________________

прилагаю новый отчет из программы AutoLogger

CollectionLog-2015.12.10-14.41.zip

Изменено 10 декабря, 2015 пользователем TWiM

[Sandor]

Порядок.

Пробуйте http://support.kaspersky.ru/viruses/disinfection/10556

[TWiM]

Скачал, делаю всё по инструкции, но программа при начале анализа, закрывается.
Вылазиет окно со следующим содержанием: Программа "Trojan-Ransom.Win32.Rakhni decription tool" не работает. Программа будет автоматически закрыта, подскажите в чем может быть проблема?

[Sandor]

Дождитесь наших гуру - thyrex или mike 1

[TWiM]

Мне им написать или они сами увидят мое обращение?

[Sandor]

Увидят

[TWiM]

Попробовал запустить программу на другом ноуте, программа всё также закрывается и выдает следующую ошибку:

 

Сигнатура проблемы:

  Имя события проблемы: APPCRASH

  Имя приложения: rakhnidecryptor.exe

  Версия приложения: 1.14.13.0

  Отметка времени приложения: 565da3f3

  Имя модуля с ошибкой: rakhnidecryptor.exe

  Версия модуля с ошибкой: 1.14.13.0

  Отметка времени модуля с ошибкой: 565da3f3

  Код исключения: c0000005

  Смещение исключения: 00009160

  Версия ОС: 6.1.7601.2.1.0.256.48

  Код языка: 1049

  Дополнительные сведения 1: 0a9e

  Дополнительные сведения 2: 0a9e372d3b4ad19135b953a78882e789

  Дополнительные сведения 3: 0a9e

  Дополнительные сведения 4: 0a9e372d3b4ad19135b953a78882e789

 

Ознакомьтесь с заявлением о конфиденциальности в Интернете:

  http://go.microsoft.com/fwlink/?linkid=104288&clcid=0x0419

 

Если заявление о конфиденциальности в Интернете недоступно, ознакомьтесь с его локальным вариантом:

  C:\Windows\system32\ru-RU\erofflps.txt

___________________________________________

А в корне диска С, создается лог файл самой программы со следующим содержанием:

 

16:02:09.0894 0x0464  Trojan-Ransom.Win32.Rakhni decryption tool 1.14.13.0 Dec  1 2015 16:42:44

16:02:12.0072 0x0464  ============================================================

16:02:12.0072 0x0464  Current date / time: 2015/12/10 16:02:12.0072

16:02:12.0072 0x0464  SystemInfo:

16:02:12.0072 0x0464  

16:02:12.0072 0x0464  OS Version: 6.1.7601 ServicePack: 1.0

16:02:12.0072 0x0464  Product type: Workstation

16:02:12.0072 0x0464  ComputerName: JULIA-ПК

16:02:12.0240 0x0464  UserName: Julia

16:02:12.0240 0x0464  Windows directory: C:\Windows

16:02:12.0240 0x0464  System windows directory: C:\Windows

16:02:12.0240 0x0464  Processor architecture: Intel x86

16:02:12.0240 0x0464  Number of processors: 2

16:02:12.0240 0x0464  Page size: 0x1000

16:02:12.0240 0x0464  Boot type: Normal boot

16:02:12.0240 0x0464  ============================================================

16:02:12.0244 0x0464  Initialize success

16:02:14.0456 0x1110  Number of worker threads: 2

16:02:29.0369 0x1110  File path: C:\Users\Julia\Desktop\1\Температура рабочих зон.doc.id-3573016250_maxcrypt@foxmail2.com

16:02:29.0386 0x1110  Encrypted extension: .id-3573016250_maxcrypt@foxmail2.com, original extension: .doc

16:02:29.0386 0x1110  Cannot recover password

16:02:29.0403 0x1110  Encrypted extension: .id-3573016250_maxcrypt@foxmail2.com, original extension: .doc

 

[mike 1]

Пришлите несколько зашифрованных файлов в архиве. 

[TWiM]

выслал вам архив, пароль - virus

shifrovannie-faili.rar

[mike 1]

У меня утилита работает, но времени на брут у меня нет. Возможно у вас какие-то системные файлы повреждены. 

[TWiM]

Вообщем в тех. поддержке сказали, что дешифратора пока на этот тип трояна нет. И это очень обидно. Подскажите пожалуйста, как часто выходят обновления программы RakhniDecryptor? И есть ли надежда, что дешифратор выйдет вообще? Благодарю за ответ и спасибо всем за помощь!

Изменено 14 декабря, 2015 пользователем TWiM

[mike 1]

Вам сказали что нужно пытаться использовать. Что мешает запустить утилиту на другом компьютере?