Криптор breaking_bad

[backpacker 0]

Доброго времени суток, как можно было понять, организация поймала шифровальщик через почту, путем запуска исполняемого файла, файлы с расширением .doc , .pdf и т.д перезаписаны с расширением .breaking_bad.

Долгое время система стояла без попыток что-либо предпринять (WinXP). Хотелось бы узнать, есть ли какая-либо вероятность успеха.

CollectionLog-2016.06.08-08.41.zip

FRST_logs.zip

[Sandor 1 282]

Здравствуйте!

 

В архиве CollectionLog не хватает логов от AVZ. Переделайте, пожалуйста.

[backpacker 0]

прошу прощения, компьютер без доступа в сеть пылился, ругался на недоступность обновления, поэтому пропустил шаг AVZ, прикрепил новый.

CollectionLog-2016.06.10-17.46.zip

[thyrex 1 493]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

[backpacker 0]

Новые логи + KLAN.

 

KLAN-4439950614

CollectionLog-2016.06.13-09.36.zip

[thyrex 1 493]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[backpacker 0]

FRST логи прикрепил.

FRST_logs.zip

[thyrex 1 493]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\...\Run: [] => [X]
C:\Documents and Settings\User\Local Settings\Temp\03E34D14.exe
C:\Documents and Settings\User\Local Settings\Temp\rn32.dll
AlternateDataStreams: C:\Documents and Settings\User:id [32]
AlternateDataStreams: C:\Documents and Settings\User\Рабочий стол\смена провайдера Богданович.bat:SummaryInformation [43]
AlternateDataStreams: C:\Documents and Settings\User\Рабочий стол\смена провайдера Богданович.bat:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Documents and Settings\User\Мои документы\1Bx7Y0-EEvhfGxWaQPbyTm-MpR58ZlG8pVa8jpC7RXjg0FCabsxSyY3XJapbm2QgRB7KLbjUEh8iUygOjsh8Vw==.084DD5D1660BD136FF9F.breaking_bad:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Documents and Settings\User\Мои документы\49yAOglb0HEMn3yRxK1QGHDpBtkkwyaLtOsaPp8GVD8=.084DD5D1660BD136FF9F.breaking_bad:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Documents and Settings\User\Мои документы\88jlFEw7vwx34XcJDrjRohliZmusZK6ZhxPUqQxLaCkus7qZT6mr8S0iCrOtiOPgUqerD6LJzq7IDtFiTX-QFC4bRK+oVZuCEpVwP3Qowtk=.084DD5D1660BD136FF9F.breaking_bad:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Documents and Settings\User\Мои документы\akqxE63E-7PfIk0ULIwu439usnSQD-hGkOqdPRv2RBcdMUT91vK5+EQOIaz9zAYY.084DD5D1660BD136FF9F.breaking_bad:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Documents and Settings\User\Мои документы\Hc-4+qt-Ftcw5+W1IwNMcKF4VloJB9LLjcYG1EAvKTKKktZGdM3kRMFo9oQw5oGGlrD32Vm8g7p0TDYEZPWNVdOA67TI4+hQhfjhBsRGPjg=.084DD5D1660BD136FF9F.breaking_bad:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Documents and Settings\User\Мои документы\Lq-R2eTi9Jho1VeZKnZ9Y4ERkvfEXbvLH4ia64dGt+ETftxDwGO4TxuK+apKibzsmSBsPYtZxOaRGLrCe9UOrA==.084DD5D1660BD136FF9F.breaking_bad:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Documents and Settings\User\Мои документы\SxmuzQMyRD0Rp2OWleklc1HYDnB0cifYOwdVi+5Q9DnMqUQKiroERvvkj4mjXeMU.084DD5D1660BD136FF9F.breaking_bad:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Documents and Settings\User\Мои документы\WcBXHolyzIa25sQZ16r5AqKTNz-oMaAQiwqJv5JtFw4=.084DD5D1660BD136FF9F.breaking_bad:SummaryInformation [61]
AlternateDataStreams: C:\Documents and Settings\User\Мои документы\WcBXHolyzIa25sQZ16r5AqKTNz-oMaAQiwqJv5JtFw4=.084DD5D1660BD136FF9F.breaking_bad:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[backpacker 0]

Выполнил.

Fixlog.txt

[thyrex 1 493]

C расшифровкой не сможем помочь