Код_Да_Винчи

[Вадим Шапошников]

Словили и мы шифровальщик. Отправил запрос из личного кабинета, но, наверное, там таких как я много. Может тут поможете:

Win7 Pro, 32 бит. Антивирус 6.04.1424

 

22.06.2016 в 16.05  По эл.почте был получен (и выполнен) скрипт, содержащий шифровальщик Код-Да-Винчи. В результате зашифрованы вск данные. Резервной копии, разумеется нет. В антивирусе функция "Проактивная защита" ("Анализ активности" и "Мониторинг реестра" ) выключены.

На всякий случай пока не запускал никаких утилит лечения-восстановления.

 

Прикладываю образцы зашифрованных файлов и РЕАДМИ в архиве и логи

Буду признателен за помощь.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Desktop.rar

CollectionLog-2016.06.23-12.27.zip

[Roman_Five]

1. Kaspersky Anti-Virus 6.0 for Windows Workstations MP4 давно пора обновить до KES10
2. по поводу расшифровки продолжайте общаться с ТП. помочь могут только они.
3. 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 TerminateProcessByName('c:\program files\common files\baidu\baiduprotect1.3\1.3.0.443\baiduprotect.exe');
 SetServiceStart('BDSafeBrowser', 4);
 SetServiceStart('BDEnhanceBoost', 4);
 SetServiceStart('bd0002', 4);
 SetServiceStart('BDMWrench', 4);
 SetServiceStart('BDArKit', 4);
 SetServiceStart('bd0004', 4);
 SetServiceStart('bd0001', 4);
 SetServiceStart('BDSGRTP', 4);
 StopService('BDMWrench');
 StopService('BDArKit');
 StopService('bd0004');
 StopService('bd0001');
 StopService('BDSGRTP');
 QuarantineFile('C:\Users\КудлаеваО.VSLK\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4IDMPJLG\StartInstallLite.exe','');
 QuarantineFile('C:\PROGRA~2\Mozilla\hhthlcc.exe','');
 QuarantineFile('C:\Windows\system32\DRIVERS\bd0002.sys','');
 QuarantineFile('c:\users\кудлаевао.vslk\appdata\local\temp\A907D8C80.sys','');
 QuarantineFile('c:\users\КудлаеваО.vslk\appdata\local\temp\23682839.sys','');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 QuarantineFile('c:\program files\common files\baidu\baiduprotect1.3\1.3.0.443\baiduprotect.exe','');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\ad.dll','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDKitUtils.dll','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDLogicUtils.dll','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDMNet.dll','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDMReport.dll','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\bdsg0001.dll','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\DriverManager.dll','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\plugins\BaiduRepair.dll','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\plugins\HIPS.dll','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\SafeBrowserDll.dll','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\SafeExplorer.dll','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BaiduProtect.exe','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDEnhanceBoost.sys','32');
 DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','32');
 DeleteFile('C:\Program Files\BaiduAn3.0\BaiduAn\3.0.0.3971\BaiduAnTray.exe','32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\kmblcbd','32');
 DeleteFile('C:\PROGRA~2\Mozilla\hhthlcc.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{2A8F50EB-30C1-4DDB-A721-6F29C11572ED}','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','BaiduAnTray');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-1035533968-4111419254-2226832984-1132\Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 DeleteService('BDSafeBrowser');
 DeleteService('BDEnhanceBoost');
 DeleteService('bd0002');
 DeleteService('BDMWrench');
 DeleteService('BDArKit');
 DeleteService('bd0004');
 DeleteService('bd0001');
 DeleteService('BDSGRTP');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BaiduProtect.exe');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDEnhanceBoost.sys');
 BC_DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys');
 BC_DeleteFile('C:\Program Files\BaiduAn3.0\BaiduAn\3.0.0.3971\BaiduAnTray.exe');
 BC_DeleteFile('C:\ProgramData\Windows\csrss.exe');
 BC_DeleteFile('C:\PROGRA~2\Mozilla\hhthlcc.exe');
 BC_DeleteSvc('BDSGRTP');
 BC_DeleteSvc('bd0001');
 BC_DeleteSvc('bd0004');
 BC_DeleteSvc('BDArKit');
 BC_DeleteSvc('BDMWrench');
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Online Scanner.

Порядок действий на портале Kaspersky Online Scanner::

1) Нажмите "Выбрать файл" и укажите путь к архиву.

2) После проверки нажмите на "Не согласиться с результатом", выберите "Получить уведомление о доставке файла" и укажите адрес своей электронной почты.

3) Нажмите "Отправить".

Полученный через электронную почту ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=1f4631aa18446dacf5cca80e10d84aa8&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=1f4631aa18446dacf5cca80e10d84aa8&text=
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=1f4631aa18446dacf5cca80e10d84aa8&text=

приложите новые логи автологгера и логи FRST
 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

[Вадим Шапошников]

Все выполнил.

Техподдержка пока молчит

 

Ответ от ОнлайнСканера:

 

Здравствуйте,
Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

csrss.exe,
baiduprotect.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.
С уважением, Лаборатория Касперского

 

Новые логи:

CollectionLog-2016.06.24-09.41.zip

Addition.txt

FRST.txt

Shortcut.txt

Изменено 24 июня, 2016 пользователем mike 1
Карантин в теме

[mike 1]

 

 

Антивирус 6.04.1424

К этому старью уже базы не выпускают, но находятся люди, которые до последнего на нем сидят, а потом плачут, что их файлы зашифровались. Обновляйтесь до KES 10.

[Вадим Шапошников]

 

 

 

Антивирус 6.04.1424

К этому старью уже базы не выпускают, но находятся люди, которые до последнего на нем сидят, а потом плачут, что их файлы зашифровались. Обновляйтесь до KES 10.

 

Ага, я нашелся!!! Однако, базы обновлялись успешно.

[mike 1]

 

 

 

 

Антивирус 6.04.1424

К этому старью уже базы не выпускают, но находятся люди, которые до последнего на нем сидят, а потом плачут, что их файлы зашифровались. Обновляйтесь до KES 10.

 

Ага, я нашелся! Однако, базы обновлялись успешно.

 

Базы не тестируются. Если у вас рухнет система после некорректного обновления, то виноваты только вы будете, т.к. эта версия антивируса уже давно снята с поддержки, да и бесполезна она против шифровальщиков. Можете считать, что данный момент в вашей организации нет антивируса.

[Вадим Шапошников]

OK! Версию антивируса поменяем. Вопрос: KES10 защищает от шифровальщиков? Есть смысл в доп программах, типа CryptoPrevent?

Получил ответ от техподдержки. Если кратко, то "Держитесь! Всего вам доброго, хорошего настроения и здоровья!". Т.е. рекомендовано сменить версию антивируса и сохранять зашифрованные файлы до лучших времен. Так и поступим.

 

Роману и Майку - спасибо за поддержку и помощь!

Изменено 24 июня, 2016 пользователем Вадим Шапошников

[mike 1]

 

 

Вопрос: KES10 защищает от шифровальщиков?

Отвечаю:

 

 

 

 

Модуль "Мониторинг системы" будет работать примерно так в случае, если несколько файлов успеет зашифроваться

 

 

Изменено 25 июня, 2016 пользователем mike 1